Ipsec：ip安全行策略来实现数据库加密.二十

Ipsec 是一个标准的跨平台的软件。

常见的的攻击有六种分别为：

1.  网络监听：抓包

2.  数据篡改

3.  欺骗：ARP

4.  中间人攻击

5.  密码破解：分为暴力和字典

6.  缓冲区溢出（软件）

ipsec可以防止前五种类型的攻击。

系统安全的四个保准为：

1.  数据加密：DES,3DES

2.  数据完整性：哈希，hash

3.  认证

4.  不可否定性

接下来我们看如何添加ipesc，做这个实验需要两台机：一台机为beijing，ip为192.168.11.1.另一台为shanghai：ip为192.168.11.2

首先在beijing上→运行里输入mmc打开控制台。

在文件点击添加与删除单元，出现如下图所示，点击添加。

选中“ip安全策略管理”点击添加。

选择本地计算机，点击完成。

添加ipsec完成。

例1.拒绝对方ping我。

在beijing上新建安全策略，而shanghai进行对beijing，ping

右击，创建ip安全策略、、

 

出现“欢迎使用ip安全策略向导”，请点击下一步。

给策略起一个名称为ping，

不激活默认响应规则，我们自己来规定规则。

不编辑属性，点击完成。

然后在双击ping规则，出现如下图所示点击添加。以下操作我都把“使用添加向导取消了”

我们在自己添加一条策略，不使用系统默认的。

因为只控制别人不能ping我，所以源地址要选择我的ip地址，目标地址为任何地址。也可以使用一个ip地址或一个子网，根据需要而选择。

添加ip筛选器，筛选器名称为ping，点击添加。

然后把ping筛选器选中。

完成后，点击筛选器操作添加筛选器规则。如下图所示选择阻止，在常规里给规则起一个名为“拒绝”

添加完成后，选中拒绝规则，点击应用。

规则新建完成后，我们来测试在shanghai机上使用名令 -t不停的ping。

如下图所示规则已经建好了，为什么还能ping的通呢？简单那是因为还没有指派呢，指派后我们来看看如何。

在ping策略上右击指派。策略已指派那一项还是否。

如下图所示指派后，shanghai已经ping不通了。

但是对方ping不通自己了，那自己能同对方吗？答案是不能，为什么不能呢？因为在协议配置的时候选择的是阻止任意协议，所以ping不通。

我们来用 ipsec 来实现数据库加密，首先双方都要添加 ipsec ，并且双方对 ipsec 的配置要一样。

在没做 ipsec 之前，我们用 guo 在台登录 wei 机数据库进行查看操作，并且进行抓包。

如下图所示抓包器中抓到的包是明文，数据都被抓到了。

下面我们通过双方开启 ipsec 来实现数据库加密，把明文变成密文。

首先在 guo 机上进行操作，添加 ipsec 完成后，右击创建 ip 安全策略如下图所示，出现“欢迎使用 ip 安全策略向导”请点击下一步。

给策略起个名为：数据加密

不激活默认响应规则，点击下一步。

不编辑属性，点击完成。

然后双击数据加密，在 ip 筛选器列表里，起名为：数据加密，然后点击添加地址选项中；源地址选任何 ip 地址，目标地址选任何 ip 地址。源地址也可以是一个网段或一个 ip 地址。

在协议这一项中选 TCP 协议，因为是给数据库加密所以也可以直接输入端口号，数据库使用的端口号为 1433.

在筛选器操作选项里选择协商安全，然后点击添加，完整性和加密完成后点击确定。

要把筛选器选上，然后在打开身份验证方法选项

把 kerberos 删除了，在点击添加。

设置一个与共享密钥为： guo123… ！

完成后，不要忘记指派哦，

以上操作在 wei 机上也要一模一样的做一边，在这里我就不做了。好了，两台机都配置好了 ipsec 我们来测试一下看看效果如何。

还是执行查看命令，用抓包器进行抓包。

如下图实验成功，抓包器抓到的数据为密文了。

实验成功完成。