下面根据本文的案例要求,在内网终端上配置并实施IPSec安全策略。
(1)在组策略编辑器中新建一个名为“test”的IP安全策略。
(2)在test安全策略中建立一个安全规则。注意需要将安全规则的网络类型设置为“所有网络连接”,以保证当系统中新增加网络连接设备时策略即刻生效。
(3)在安全规则中创建名为“Permit”的筛选器,放行发往信息内网的数据流量。
筛选器中的主要设置如下:
(4)在安全规则中创建名为“Deny”的筛选器,阻止发往外网的数据流量。筛选器中的“源地址”和“目标地址”均设置为“任何IP地址”,“协议类型”设置为“任何”,以彻底阻断与外网的所有通信。
(5)为“Permit”筛选器添加“筛选器操作”,在“筛选器操作常规选项”中选择“许可”,并将筛选器操作命名为“yes”。
(6)为“Deny”筛选器添加“筛选器操作”,在“筛选器操作常规选项”中选择“阻止”,并将筛选器操作命名为“no”。
配置好的“test”安全策略如图2所示。其中筛选器“Permit”匹配目的地址为“10.0.0.0/8”的数据流量,操作“yes”放行所有数据,用户可访问内网应用;筛选器“Deny”匹配所有数据流量,操作“no”阻止所有数据,用户不能访问任何网络。
可以看到这两条安全规则之间存在冲突,系统对此处理的原则是:筛选器操作为“允许”的安全规则优先于筛选器操作为“拒绝”的安全规则。因而当用户有发往内网的数据时,会优先匹配“Permit”规则,允许通过。
图 2 配置好的test安全策略
建好的IP安全策略必须要经过指派之后才能生效。在“test”策略上单击右键,选择“分配”,便应用了这条策略。
配置完成后,通过ping命令对内网应用地址及互联网地址连通性进行测试。
在测试过程中,ping公网地址(域名)时收到错误信息,而ping“10.0.0.0/8”中的内网地址时可以正常ping通,测试结果如图3所示。
图 3 ping命令测试
分别使用有线网卡接入、无线网卡连接无线路由器(外网),并在测试主机上安装USB 3G上网卡接入3G网络,重复上述测试步骤,都可以得到相同的测试结果。
为进一步证实功能实现,在组策略编辑器中将“test”安全策略配置为“未分配”状态,在该状态下无论使用哪种接入方式,均能够正常ping通内网及互联网IP地址(域名)。
为了便于在大量主机上部署IPSec安全策略,可通过在网管主机上生成并导出安全策略,在其它主机上导入的方法实现。
安全策略的导出可通过组策略编辑器完成,在“IP安全策略”上点击右键,执行“所有任务\导出策略”,导出一个名为“test.ipsec”的策略文件。
然后将策略文件复制到目标主机,并执行导入操作。在组策略编辑器的“IP安全策略”选项中点击右键导入,选择策略文件“test.ipsec”,顺利导入并分配该策略。
使用之前的测试方法分别针对有线网卡、无线网卡及3G上网卡接入方式,在策略为“分配”状态下进行测试,均无法ping通互联网地址(域名),同时可ping通内网中的地址。
为了进一步提高策略部署的简易性,可以将策略制作成批处理程序,然后放置在内网文件服务器上,由用户下载后自行运行即可。
指派策略批处理文件内容如下:
@echo off
sc config policyagent start = auto
//将Policyagent服务设置为自动启动
sc start policyagent
//启动Policyanget服务
netsh ipsec static importpolicy file = %~dp0\test.ipsec
//默认情况下Windows 7系统使用管理员身份运行程序时,系统会将当前目录切换到“system root”目录,使用“%~dp0”变量可以从解压目录中导入IPSec文件,而不会产生路径错误无法导入的问题。
netsh ipsec static set policy name = test assign = y
//指派IPSec策略,并使之生效。
pause
将文件保存成扩展名为“.bat”的批处理文件,复制到目标机上之后以管理员身份运行,可以自动生成并分配IPSec安全策略。
利用操作系统自身的IP安全机制,结合内网IP地址编制特点,在不借助于任何第三方软件、硬件的前提下,可有效阻止内网终端非法外联情况的发生。使用该方案在阻止内网终端非法外联的同时,不影响终端正常访问信息内网各应用。经测试该方案可部署于信息内网终端普通使用的Windows XP、Windows 7操作系统平台下。
安全策略无需用户自行编辑,只需网管人员生成策略后统一部署或集中打包放置在公共服务器上,由用户根据操作系统自行下载后自动导入。另外,使用该方法还可以满足在不具备可网管设备(三层交换机、防火墙、路由器)的条件下,实现终端系统间的访问控制,并结合批处理方式,简化了策略部署流程。