Ipsec:ip安全行策略来实现数据库加密.二十

Ipsec 是一个标准的跨平台的软件。
常见的的攻击有六种分别为:
1.  网络监听:抓包
2.  数据篡改
3.  欺骗:ARP
4.  中间人攻击
5.  密码破解:分为暴力和字典
6.  缓冲区溢出(软件)
ipsec可以防止前五种类型的攻击。
系统安全的四个保准为:
1.  数据加密:DES,3DES
2.  数据完整性:哈希,hash
3.  认证
4.  不可否定性
接下来我们看如何添加ipesc,做这个实验需要两台机:一台机为beijingip192.168.11.1.另一台为shanghaiip192.168.11.2
首先在beijing上→运行里输入mmc打开控制台。
在文件点击添加与删除单元,出现如下图所示,点击添加。
选中“ip安全策略管理”点击添加。
选择本地计算机,点击完成。
添加ipsec完成。
1.拒绝对方ping我。
beijing上新建安全策略,而shanghai进行对beijingping
右击,创建ip安全策略、、
 
出现“欢迎使用ip安全策略向导”,请点击下一步。
给策略起一个名称为ping
不激活默认响应规则,我们自己来规定规则。
不编辑属性,点击完成。
然后在双击ping规则,出现如下图所示点击添加。以下操作我都把“使用添加向导取消了”
我们在自己添加一条策略,不使用系统默认的。
因为只控制别人不能ping我,所以源地址要选择我的ip地址,目标地址为任何地址。也可以使用一个ip地址或一个子网,根据需要而选择。
添加ip筛选器,筛选器名称为ping,点击添加。
然后把ping筛选器选中。
完成后,点击筛选器操作添加筛选器规则。如下图所示选择阻止,在常规里给规则起一个名为“拒绝”
添加完成后,选中拒绝规则,点击应用。
规则新建完成后,我们来测试在shanghai机上使用名令 -t不停的ping
如下图所示规则已经建好了,为什么还能ping的通呢?简单那是因为还没有指派呢,指派后我们来看看如何。
ping策略上右击指派。策略已指派那一项还是否。
如下图所示指派后,shanghai已经ping不通了。
但是对方ping不通自己了,那自己能同对方吗?答案是不能,为什么不能呢?因为在协议配置的时候选择的是阻止任意协议,所以ping不通。
我们来用 ipsec 来实现数据库加密,首先双方都要添加 ipsec ,并且双方对 ipsec 的配置要一样。
在没做 ipsec 之前,我们用 guo 在台登录 wei 机数据库进行查看操作,并且进行抓包。
如下图所示抓包器中抓到的包是明文,数据都被抓到了。
下面我们通过双方开启 ipsec 来实现数据库加密,把明文变成密文。
首先在 guo 机上进行操作,添加 ipsec 完成后,右击创建 ip 安全策略如下图所示,出现“欢迎使用 ip 安全策略向导”请点击下一步。
给策略起个名为:数据加密
不激活默认响应规则,点击下一步。
不编辑属性,点击完成。
然后双击数据加密,在 ip 筛选器列表里,起名为:数据加密,然后点击添加地址选项中;源地址选任何 ip 地址,目标地址选任何 ip 地址。源地址也可以是一个网段或一个 ip 地址。
在协议这一项中选 TCP 协议,因为是给数据库加密所以也可以直接输入端口号,数据库使用的端口号为 1433.
在筛选器操作选项里选择协商安全,然后点击添加,完整性和加密完成后点击确定。
要把筛选器选上,然后在打开身份验证方法选项
kerberos 删除了,在点击添加。
设置一个与共享密钥为: guo123…
完成后,不要忘记指派哦,
以上操作在 wei 机上也要一模一样的做一边,在这里我就不做了。好了,两台机都配置好了 ipsec 我们来测试一下看看效果如何。
还是执行查看命令,用抓包器进行抓包。
如下图实验成功,抓包器抓到的数据为密文了。
实验成功完成。

你可能感兴趣的:(职场,休闲,sql安全)