使用安全连接规则 为网络传输“保驾护航”

  • 来源:PC电脑王
  • 关键字:黑客,网络传输,防火墙
  • 发布时间:2015-11-16 11:23

  当在网络传输数据(尤其是机密信息)时,我们最担心黑客使用Sniffer Pro等嗅探工具对其进行拦截,一旦让其得逞,您的敏感信息就没有秘密可言。为了保护数据传输的安全性,不仅要对传输的数据进行高强度的加密,而且还需要对数据进行完整性检查,防止黑客中途对其进行非法窜改。其实,我们无需使用复杂的加密工具,仅仅依靠系统提供的安全连接规则,就可以对网络数据传输进行完美保护。

  在本文中,以在两台Windows7主机之间安全传输数据为例进行说明。这两台主机可以在局域网中也可以位于Internet上,两机都拥有独立的IP。在其中一台(假设为PC1)上打开控制面板,在系统和安全窗口中点击“Windows防火墙”项,在左侧点击“打开或关闭Windows防火墙”项,启用Windows防火墙。在上述窗口左侧点击“高级设置”项,在高级安全Windows防火墙窗口左侧选择“连接安全规则”项,在右侧点击“新建规则”连接,在弹出窗口中选择“隔离”项,点击下一步按钮,如果选择“入站和出站请求身份验证”项,表示数据的进出都会请求对方采用IPSec,如果对方没有提供IPSec功能导致协商失败的话,就采用普通的连接方式。

  如果选择“入站连接要求身份验证,出站连接请求身份验证”项,表示接收数据必须采用IPSec,否则拒绝连接。出站连接会请求对方采用IPSec,如果与对方协商失败,就采用一般的连接方式。选择“入站和出站要求身份验证”项,表示无论出站和入站连接,都必须采用IPSec,否则的话拒绝连接。这里选择“入站和出站要求身份验证”项,来提高传输的安全性。在下一步窗口中选择“高级”项,点击“自定义”按钮,在弹出窗口中的“第一身份验证”栏中点击“添加”按钮,在打开窗口中选择身份验证方法,包括计算机KerberosV5、计算机NTLMv2、证书,预共享密钥等类型。例如,可以选择“预共享密钥”项,输入所需的密钥。

  当然,在对方主机上也必须按照同样的方法,设置相同的密钥值。也可以使用数字证书,来保护数据传输的安全性。选择“来自下列证书颁发机构(CA)的计算机证书”项,点击浏览按钮,选择所需的数字证书即可。当然,在两台电脑上都必须安装同样的数字证书。注意,所谓第一身份验证方法针对的目标是计算机身份,即相互通讯的主机。为了加强安全性,可以对用户身份进行安全验证,即验证发起数据通讯的用户账户。方法是在“第二身份验证”栏中点击“添加”按钮,在弹出窗口中选择合适的验证方式(例如“用户KerberosV5)”。这样,在连接对方主机时,必须使用指定账户身份来操作。

  在上述向导界面中点击下一步按钮,在配置文件窗口中选择本机何时应用该规则。如果选择“域”项,表示当本机连接到网络时,如果能够与域控制器通信,就应用此规则。如果选择“专用”项,表示当本机连接到专用网络时,如果无法与域控制器通信或者该机是非域成员,就应用此规则。如果选择“公用”项,表示本机连接到公用网络时应用此规则。在下一步窗口中输入本规则的名称和描述信息,点击“完成”按钮,执行该规则的创建操作。如果在另外一台主机(假设PC2)上没有配置同样的IPSec规则,那么当其试图与本机通讯时,就会遭到本机的拒绝。因此,需要在另一台主机上执行上述操作,创建同样的连接安全规则。

  这样,在两台主机之间进行数据传输时,别人是无法进行嗅探和窜改的,因为使用了数据加密技术,黑客是无法破译其内容的。例如,在PC1共享某个文件夹,之后从PC2对其进行访问,并远程复制和存储其中的数据,在此期间,数据处于加密传输状态,黑客即使使用Cain等工具对其进行探测,也只能得到一些杂乱的代码。在数据传输过程中,在PC1或者PC2主机上的高级安全Windows防火墙窗口左侧选择“监视”-“安全关联”-“主模式”或者“快速模式”项,就可以在监控界面中查看加密传输参数了,包括本机地址、远程地址、本地端口、远程端口、协议、AH完整性、ESP完整性、ESP加密等信息。注意,为了顺利使用PING命令。在两机之间进行探测,可以在如果想更改IPSec默认值的话,可以在高级安全Windows防火墙窗口左侧的“本地计算机”节点右键菜单上点击“属性”项,在弹出窗口中的“IPSec免除”栏中的“从IPSec免除ICMP”列表中选择“是”项,可以让PING操作不受IPSec影响直接进行探测操作。

  文/刘景云

关注读览天下微信, 100万篇深度好文, 等你来看……