Windows 2000 Server也能“包过滤”

     3．用“Netsh”命令输入设定

　　---上述的这些图形管理画面对于不太熟悉的用户用起来也很方便，但是操作起来有点繁琐，必须一个一个地输入“筛选”规则。

　　为了简化输入步骤，可以使用Windows 2000 Server标准附带的Netsh命令。例如，要用Netsh命令来输入源IP地址/端口号为任意、目标IP地址为210.225.37.227及目标端口为80的过滤规则，在“netsh routing ip add filter”之后，按图6所示的格式记述。用文本编辑器来编辑所有的过滤规则，作为批文件执行，就可以进行一揽子设定。

　　---- 在命令提示符下，执行“netsh dump”，可以用文本数据输出RRAS设定的内容（如图7所示）。要想修改用“netsh dump”得到的列表内容，执行“netsh-f 文件名”，可以将设定输入到RRAS。

图7

    4．用IPsec实现安全开放危险服务

　　---- 由IPsec实现的包过滤用于只允许某些特定用户访问对外开放的具有危险性的服务。所谓IPsec是IEIF标准化的IP认证/加密方式。在IP层上加密，不管上层是什么协议，都可以利用。不仅可以依据过滤规则实现通信，还可在服务器和客户机间实施用户的认证和通信加密，能够实现比RRAS更高级的访问控制。
　　
　　---- 加密方式可以选择DES和3DES(Triple DES)。3DES的加密强度高。但是，缺省状态下的Windows 2000 Server 不能使用。使用3DES要安装与Windows 2000 Server同出一家的高级加密软件包High Encryption Pack。
　　
　　---- 使用IPsec中能用的包过滤机构，可以按源IP地址/端口号、目标IP地址/端口号以及TCP/UDP/ICMP等协议种类为条件筛选包。过滤机构本身可以说大体上与RRAS相当。
　　
　　---- 在IPsec中，哪个通信要用IPsec，事先要作为策略定义好。默认状态备有3种策略。
　　
　　---- 在IPsec中，还有一点要注意的是认证方式的选择。Windows 2000 Server 中有3种方式可供选择。
　　
　　由Kerberos进行认证。如果不是支持Windows 2000 Kerberos的客户机，则不能访问。

　　由证书(x.509 v3.0)进行认证。要有发行证书的认证中心，即使没有第3方认证机关，利用Windows 2000 Server的“证书服务”，也可以给客户端发行证书。

　　由临时共享密钥进行认证。相互通信的机器间事先登录同样的密钥（公用保密字），在连接时相互对照进行认证。

　　---- 但是，IPsec机构是以用户认证和加密为前提的。用IPsec制作面向多个不确定用户的包过滤规则有悖于IPsec的初衷，这也是不现实的。多个不确定用户的包过滤规则用RRAS设定，IPsec应该用来设定需要通信加密的企业间的规则。

　　---- 以上说明了Windows 2000 Server所配备的3种包过滤机构。当然，还有好多包过滤也无法处理的攻击。最近，对于IIS安全漏洞的攻击日益猖獗，除了包过滤之外，要及时收集信息和适用的补丁程序。