Windows 2000 sisältämä IPSec-toiminto tarjoaa mahdollisuuden luoda palomuuri turvautumatta ulkopuolisiin, kaupallisiin ohjelmiin kuten ZoneAlarm tai Kerio. IPSec-säännöstön avulla on mahdollista luoda portteihin ja protokolliin perustuva perustason palomuuri, jonka hallinta ja konfigurointi on helppoa.
Ennen kuin asennat IPSec-palomuurin,varmista ettei sinulla ole entuudestaan voimassa olevaa IPSEC-säännöstöä muutoin se ylikirjoitetaan.
Seuraavat toiminnot edellyttävät että olet kirjautunut Järjestelmänvalvojana tai että sinulla on vastaavat oikeudet. Ota varmuuskopio järjestelmästäsi ennen kuin ryhdyt seuraaviin toimenpiteisiin.
Avaa Windowsin rekisterieditori (regedit.exe) ja etsi sieltä seuraava viite:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
Lisää kyseisen puun alle uusi DWORD-arvo NoDefaultExempt ja aseta sen arvoksi 1.
Kyseinen asetus on oletusarvona Windows XP ServicePack 2 ja W2K Service Pack 4 koneissa, mutta muihin
se on tehtävä manuaalisesti. Arvo tiukentaa Windows/IPSec-palomuurin normaalisti hieman löyhäkätistä
suhtautumista tiettyihin olosuhteisiin.
Käynnistä > suorita > mmcKonsoli> Lisää/poista sovellusTallenna luomasi suojauskäytäntöjen hallintakonsoli tulevaa palomuurin hallintakäyttöä varten johonkin helposti käytettävään sijaintiin, esim. työpöydälle.
Asenna tämän jälkeen IPSec-agentti osoitteesta http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp
Kopioi alla oleva koodi ja tallenna se tekstimuotoisena (esim. Muistiolla) nimellä palomuuri.bat samaan kansioon IPSec-agentin kanssa (yleensä C:/program files/resource kit):
iipsecpol -w REG -p Palomuuri -x
ipsecpol -w REG -p Palomuuri -o
ipsecpol -w REG -p Palomuuri -r "BlockAll" -n BLOCK -f 0=*::*
ipsecpol -w REG -p Palomuuri -r "AllowICMP" -n BLOCK -f 0::=*:*:ICMP
ipsecpol -w REG -p Palomuuri -r "AllowFTPData-out" -n PASS -f 0:=*:20:TCP
ipsecpol -w REG -p Palomuuri -r "AllowFTP-out" -n PASS -f 0:=*:21:TCP
ipsecpol -w REG -p Palomuuri -r "AllowSSH-in" -n PASS -f 0:22+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowSMTP-in" -n PASS -f 0:25+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowSMTP-out" -n PASS -f 0:=*:25:TCP
ipsecpol -w REG -p Palomuuri -r "AllowPOP3-in" -n PASS -f 0:110+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowPOP3-out" -n PASS -f 0:=*:110:TCP
ipsecpol -w REG -p Palomuuri -r "AllowDNS_TCP-in" -n PASS -f 0:53+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowDNS_TCP-out" -n PASS -f 0:=*:53:TCP
ipsecpol -w REG -p Palomuuri -r "AllowDNS-in" -n PASS -f 0:53+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowDNS-out" -n PASS -f 0:=*:53:UDP
ipsecpol -w REG -p Palomuuri -r "AllowHTTP-in" -n PASS -f 0:80+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowHTTP-out" -n PASS -f 0:=*:80:TCP
ipsecpol -w REG -p Palomuuri -r "AllowSNMP-in" -n PASS -f 0:161+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMP-out" -n PASS -f 0:=*:161:UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMPTrap-in" -n PASS -f 0:162+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMPTrap-out" -n PASS -f 0:=*:162:UDP
ipsecpol -w REG -p Palomuuri -r "AllowHTTPS-in" -n PASS -f 0:443+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowHTTPS-out" -n PASS -f 0:=*:443:TCP
ipsecpol -w REG -p Palomuuri -r "AllowSysLog-in" -n PASS -f 0:514+*:: UDP
ipsecpol -w REG -p Palomuuri -r "AllowSysLog-out" -n PASS -f 0:=*:514:UDP
ipsecpol -w REG -p Palomuuri -r "AllowNortonAV-in" -n PASS -f 0:1233+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowNortonAV-out" -n PASS -f 0:=*:1233:TCP
ipsecpol -w REG -p Palomuuri -r "AllowMSSQL-in" -n BLOCK -f *:1433+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowMSSQL-out" -n BLOCK -f 0:=*:1433:UDP
ipsecpol -w REG -p Palomuuri -x
Käynnistä palomuuri siirtymällä IPSec-agentin asennuskansioon komentokehoitteessa ja antamalla komento
ipsecpol -file palomuuri.batTarkista vielä IP-suojauskäytäntöjen hallintapaneelin avulla palomuurin tila. Voit luoda uusia sääntöjä seuraavalla syntaksilla:
a) estä liikenne kaikista IP-osoitteista haluamiisi portteihin ja protokolliin
ipsecpol -w REG -p "Säännön nimi" -r "Säännön kuvaus" -f *=0:Port:Protocol -n BLOCKb) estä omalta koneeltasi lähtöisin oleva liikenne haluamiisi portteihin ja protokolliin
ipsecpol -w REG -p "Säännön nimi" -r "Säännön kuvaus" -f 0=*:Port:Protocol -n BLOCKMuuttamalla komento BLOCK muotoon PASS sallitaan liikenne.
2kmediat.com, ©2000-2008 Koulutus- ja konsultointipalvelu KK Mediat.
Tekijänoikeuksia koskeva tiedonanto |
Tietosuojalausunto |
Sivukartta
