【文章內(nèi)容簡(jiǎn)介】 找到名為 ipsecservices的服務(wù)，保證它是?啟動(dòng)?的。 ? 第 2步：如果該服務(wù)沒有啟動(dòng)，則雙擊其名稱，點(diǎn)?啟動(dòng)?按鈕啟動(dòng)該服務(wù)，然后再將其啟動(dòng)方式設(shè)置為?自動(dòng)?，這樣才能保證下面設(shè)置好的 IP Filter防火墻過濾信息可以隨系統(tǒng)啟動(dòng)而啟動(dòng)，從而保證對(duì)數(shù)據(jù)包的過濾功能生效。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 (2) 配置 IP Filter ? 第 1步：點(diǎn)擊?開始? →?運(yùn)行?，輸入 MMC并回車，啟動(dòng)管理單元控制臺(tái)窗口。 ? 第 2步：默認(rèn)情況下只有?控制臺(tái)根節(jié)點(diǎn)?一個(gè)選項(xiàng)?？赏ㄟ^主菜單的?文件?下拉后選擇?添加 /刪除管理單元?來(lái)加載 IPSec模塊。在出現(xiàn)的?添加 /刪除管理單元?窗口的?獨(dú)立?選項(xiàng)卡下點(diǎn)擊?添加?按鈕。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 3步：在 ?添加獨(dú)立管理單元?選項(xiàng)中，選擇? IP安全策略管理?，點(diǎn)擊?添加?按鈕進(jìn)行添加。系統(tǒng)會(huì)要求用戶選擇這個(gè)管理單元要管理的計(jì)算機(jī)或者域。由于這里是對(duì)本地計(jì)算機(jī)操作的，所以選擇?本地計(jì)算機(jī)?后點(diǎn)擊?完成?按鈕。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 4步：添加后就可在控制臺(tái)窗口的?控制臺(tái)根節(jié)點(diǎn)?下看到? IP安全策略，在本地計(jì)算機(jī)?的項(xiàng)目。在? IP安全策略，在本地計(jì)算機(jī)?上右鍵單擊并選擇?管理 IP篩選器表和篩選器操作? 。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 5步：默認(rèn)情況下有對(duì)?所有 ICMP通訊量?和對(duì)?所有 IP通訊量?進(jìn)行過濾的?？梢酝ㄟ^?添加?按鈕添加新的規(guī)則。 ? 第 6步：系統(tǒng)會(huì)自動(dòng)生成一個(gè)?新 IP篩選器列表?的規(guī)則，可在該窗口中勾選?使用‘添加向?qū)А?項(xiàng)，點(diǎn)擊?添加?按鈕，繼續(xù)加入一個(gè)具體的過濾項(xiàng)。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 7步：系統(tǒng)將自動(dòng)啟動(dòng) IP篩選器向?qū)А螕?下一步?，指定 IP通訊的源地址，類似于規(guī)則中的源地址。可供選擇的有特定的 IP子網(wǎng)、特定的 IP地址、特定的 DNS名稱、任何 IP地址和本機(jī) IP地址。如果選擇子網(wǎng)，會(huì)出現(xiàn)需要填寫 IP地址和子網(wǎng)掩碼的對(duì)話框；如果選擇 IP地址，則出現(xiàn)要填寫的 IP地址框；如果選擇 DNS名稱，則出現(xiàn)需填寫主機(jī)名的框。 5． 2 IP安全協(xié)議 (IPSec) 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 9步：選擇通訊協(xié)議類型，包括常用的 TCP和 UDP，還可以設(shè)置為任意。 ? 第 10步：點(diǎn)擊?下一步?后出現(xiàn)完成 IP篩選器建立向?qū)Т翱冢c(diǎn)擊?完成?按鈕結(jié)束操作。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ? 第 11步：這時(shí)可在剛剛見過的 IP篩選器列表窗口中看到添加的規(guī)則。由于這些規(guī)則都是在同一個(gè)篩選器中，所以規(guī)則可以同時(shí)生效。 ? 第 12步：點(diǎn)擊?添加?和?關(guān)閉?按鈕保存此前的設(shè)置，可在? IP篩選器列表?中看到新建立的名為?新 IP篩選器列表?的篩選器。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 (3) IP Filter高級(jí)技巧 ① 備份設(shè)置的過濾規(guī)則 ? 右鍵單擊? IP安全策略，在本地計(jì)算機(jī)?，選擇?所有任務(wù)?下的?導(dǎo)出策略?即可。若在其他計(jì)算機(jī)上使用?所有任務(wù)?下的?導(dǎo)入策略?，就可以實(shí)現(xiàn)多臺(tái)計(jì)算機(jī)快速使用同一個(gè)策略的功能。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ② 單防火墻的多策略 ? 如果用戶使用的是筆記本電腦，經(jīng)常在家中和單位場(chǎng)合交替使用，若使 IP Filter單過濾系統(tǒng)擁有多項(xiàng)策略，就方便使用該防火墻系統(tǒng)了。這樣，可在家中使用一套過濾方案，在單位使用另一套過濾方案。使 IP Filter單過濾系統(tǒng)擁有多項(xiàng)策略的方法很簡(jiǎn)單，按照上述步驟在? IP篩選器列表?中建立多個(gè)篩選器，依次命名為?單位 IPSec設(shè)置?和?家庭 IPSec設(shè)置?。 5． 2 IP安全協(xié)議 (IPSec) IPSec設(shè)置與應(yīng)用實(shí)例 ③ 快速還原初始設(shè)置 ? 有時(shí)在為 IP Filter添加了一些過濾規(guī)則后，發(fā)現(xiàn)網(wǎng)絡(luò)無(wú)法使用了，這說明用戶添加規(guī)則的時(shí)候出現(xiàn)了問題。如果一個(gè)一個(gè)的刪除這些過濾規(guī)則是可以的，但是太麻煩。 IP Filter有一個(gè)默認(rèn)設(shè)置，用戶可以通過 IP Filter中的?恢復(fù)默認(rèn)設(shè)置?功能來(lái)完成還原初始設(shè)置。方法是在? IP安全策略，在本地計(jì)算機(jī)?上右鍵選擇?所有任務(wù)?下的?還原默認(rèn)策略?即可。這樣原來(lái)設(shè)置的所有策略都將被清空。 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 1． NTFS的安全特性 (1) 磁盤自我修復(fù)功能 (2) 數(shù)據(jù)壓縮功能 (3) 數(shù)據(jù)加密功能 (4) 文件權(quán)限管理和審核功能 (5) 磁盤配額管理功能 (6) 事件日志功能 (7) 動(dòng)態(tài)磁盤功能 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 2． NTFS安全性應(yīng)用實(shí)例 (1) 數(shù)據(jù)壓縮功能的應(yīng)用 ? 現(xiàn)以 ? xnzz”文件夾為例 ， 使用 NTFS的數(shù)據(jù)壓縮功能對(duì)其進(jìn)行壓縮應(yīng)用 。 ? 第 1步：右鍵單擊該文件夾 ， 點(diǎn)擊 ? 屬性 ? 按鈕 ， 出現(xiàn) ? xnzz屬性 ? 窗口 。 ? 第 2步：選擇 ? 常規(guī) ? 選項(xiàng)卡 ， 點(diǎn)擊 ? 高級(jí) ? 按鈕 ， 出現(xiàn) ? 高級(jí)屬性 ? 窗口 。 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 ? 第 3步：選擇 ? 壓縮內(nèi)容以便節(jié)省磁盤空間 ? 單選項(xiàng) ，然后點(diǎn)擊 ? 確定 ? 按鈕回到 ? xnzz屬性 ? 窗口 。 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 ? 第 4步：點(diǎn)擊 ? 確定 ? 按鈕 ， 出現(xiàn) ? 確認(rèn)屬性更改 ?窗口 。 圖中顯示其更改為 ? 壓縮 ? 。 如選擇 ? 僅將更改應(yīng)用于該文件夾 ? 項(xiàng) ， 則系統(tǒng)只將文件夾設(shè)置為壓縮文件夾 ， 里面的內(nèi)容并未經(jīng)過壓縮 ， 但以后在該文件夾下創(chuàng)建的文件或文件夾將被壓縮；如選擇 ? 將更改應(yīng)用于該文件夾 ， 子文件夾和文件 ? 項(xiàng) ， 則文件夾下的所有內(nèi)容均被壓縮 。 按 ? 確定 ? 按鈕后進(jìn)行壓縮， 壓縮完畢即關(guān)閉窗口并使設(shè)置生效 。 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 (2) 磁盤配額管理功能的應(yīng)用 ? 現(xiàn)以 D:盤為例，使用 NTFS的磁盤配額管理功能對(duì)其進(jìn)行磁盤配額管理應(yīng)用。 ? 第 1步：打開資源管理器，右鍵單擊磁盤 D:，選擇?屬性?，在出現(xiàn)的窗口中選擇?配額?選項(xiàng)卡。 5． 3 加密文件系統(tǒng) (EFS) NTFS的安全性 ? 第 2步：選擇?啟用磁盤配額?項(xiàng)。如果要限制卷中所有用戶的磁盤使用，選擇?拒絕將磁盤空間給超過配額限制的用戶?項(xiàng)，并在下面的默認(rèn)磁盤限制中選擇?將磁盤空間限制為?單選項(xiàng)，在其后的框中輸入用戶可用的空間數(shù)，并在?將警告等級(jí)設(shè)為?欄中設(shè)定當(dāng)用戶使用到多少空間時(shí)進(jìn)行警報(bào)。以上內(nèi)容填寫后按?確定?按鈕，系統(tǒng)將進(jìn)行磁盤配額管理操作。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 1． EFS軟件 ? 在使用 EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的 FEK (文件加密密鑰 )，然后利用 FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn) X算法創(chuàng)建加密文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原文件。隨后系統(tǒng)利用用戶的公鑰加密 FEK，并把加密后的 FEK存儲(chǔ)在同一個(gè)加密文件中。當(dāng)用戶訪問被加密的文件時(shí)，系統(tǒng)首先利用用戶的私鑰解密 FEK，然后利用 FEK解密原加密文件。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 1． EFS軟件 ? EFS加密系統(tǒng)對(duì)用戶是透明的，即如果用戶加密了一些數(shù)據(jù)，那么他對(duì)這些數(shù)據(jù)的訪問將是完全允許的，并不會(huì)受到任何限制。如果用戶持有一個(gè)已加密 NTFS 文件的私鑰，那么他就能夠打開這個(gè)文件，并透明地將該文件作為普通文檔使用。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時(shí)，就會(huì)收到?訪問拒絕?的提示。這說明非授權(quán)用戶無(wú)法訪問經(jīng)過 EFS加密后的文件。即使是有權(quán)訪問計(jì)算機(jī)及其文件系統(tǒng)的用戶，也無(wú)法讀取這些加密數(shù)據(jù)。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 當(dāng)保存文件時(shí) EFS將自動(dòng)對(duì)文件進(jìn)行加密，當(dāng)用戶重新打開文件時(shí)系統(tǒng)將對(duì)文件進(jìn)行自動(dòng)解密。除加密文件的用戶和具有 EFS文件恢復(fù)證書的管理員之外，沒有人可以讀寫經(jīng)過加密處理的文件或文件夾。因?yàn)榧用軝C(jī)制建立在文件系統(tǒng)內(nèi)部，它對(duì)用戶的操作是透明的，而對(duì)攻擊者來(lái)說卻是加密的。 ? 使用 EFS加密功能要保證兩個(gè)條件，第一要保證操作系統(tǒng)是 Windows 2023/XP/2023，第二要保證文件所在的分區(qū)格式是 NTFS格式(FAT32分區(qū)里的數(shù)據(jù)是無(wú)法加密的 )。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 2． EFS加密和解密應(yīng)用 (1) EFS加密文件或文件夾 ? 如要對(duì) C盤下的? 4321”文件夾進(jìn)行 EFS加密，其操作過程為： ? 第 1步：右鍵單擊要加密的文件夾，選擇?屬性?，出現(xiàn)該文件夾的屬性窗口。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 第 2步：在?屬性?窗口中點(diǎn)擊?高級(jí)?按鈕，在彈出的?高級(jí)屬性?窗口中，勾選?加密內(nèi)容以保護(hù)數(shù)據(jù)?，如圖 ，單擊?確定?按鈕。 ? 第 3步：在隨后的屬性窗口中點(diǎn)擊?應(yīng)用?按鈕，出現(xiàn)?確認(rèn)屬性更改?對(duì)話框，如圖 。如選擇?僅將更改應(yīng)用于該文件夾?，系統(tǒng)將只對(duì)文件夾加密，文件夾里面已有的內(nèi)容并沒被加密，但是此后在文件夾中創(chuàng)建的文件或文件夾將被加密；如選擇?將更改應(yīng)用于該文件夾、子文件夾和文件?，文件夾內(nèi)部的所有內(nèi)容均被加密。 5． 3 加密文件系統(tǒng) (EFS) EFS加密和解密應(yīng)用 ? 第 4步：點(diǎn)擊?確定?按鈕，完成加密操作。 ? 現(xiàn)在已有了一個(gè)被 EFS加密過的文件夾，以后如果用戶要對(duì)某個(gè)文件或文件夾進(jìn)行 EFS加密，也可以把它們移到該文件夾中，這樣這些文件或文件夾就會(huì)被自動(dòng)加密。 5． 3 加密文件系統(tǒng) (EFS) EFS加密