[发明专利]通过IPsec策略防止违规外联的方法

说明书

技术领域

本发明涉及通信防御技术，特别是通过IPsec策略防止违规外联的方法。

背景技术

基于IP地址的访问控制能力十分脆弱，因攻击者可以很容易利用伪装的IP地址来发送IP报文。许多攻击者利用机器间基于IP地址的信任，来伪装IP地址。注册的桌面终端也可通过桌面管理系统禁止违规外联阻断，但这种通过桌面管理系统禁止违规外联阻断的方法受规章制度限制，无法大范围被应用。

发明内容

本发明的目的在于提供一种通过IPsec策略防止违规外联的方法，能有效、合规地阻止违规外联行为，可被广泛实施，通用性强。

本发明的目的是这样实现的：一种通过IPsec策略防止违规外联的方法，①在运行内输入gpedit.msc打开组策略窗口并创建IP安全策略起名为“IPsec”；②双击已创建好的IP安全策略（防外联）进行配置，将不允许访问的IP地址填入到不允许筛选列表内。

本发明所利用的IPSec(Internet Protocol Security)允许设备使用比源IP地址更安全的方式来认证IP数据报的来源，即通过WINDOWS操作系统组策略中的IPSEC策略，能有效阻止本地计算机和信息内网以外的网络通讯。Windows系统内部集成了很多安全特性，这包括本地安全及审核策略、加密文件系统、TCP/IP过滤、IP安全(IPSec)等等，其中的TCP/IP过滤为用户提供了一个简单、易于配置、易于使用的网络安全保障工具。它是用于本地主机TCP/IP通讯的一组筛选器。使用TCP/IP筛选可以为每个IP接口严格指定所处理的传入TCP/IP通讯类型。该功能设计用于隔离Internet或Intranet服务器所处理的通信。本发明能有效、合规地阻止违规外联行为，可被广泛实施，通用性强。

具体实施方式

一种通过IPsec策略防止违规外联的方法，①在运行内输入gpedit.msc打开组策略窗口并创建IP安全策略起名为“IPsec”；(此处不能使用中文，使用中文命名会造成无法使用命令行进行激活，使用中文名称“防外联”，是为了方便理解。)②双击已创建好的IP安全策略(防外联)进行配置，将不允许访问的IP地址填入到不允许筛选列表内。

本发明在计算机上被实施的具体操作步骤为：

1、主密钥完全前向保密：选择保证没有重用以前使用的密钥材料或密钥来生成其它主密钥。

2、身份验证和生成新密钥间隔(A)：确定在其后将生成新密钥的时间间隔。

3、身份验证和生成新密钥间隔(U)：限制主密钥可以被当作会话密钥的密钥材料来重新使用的次数。(如果已经启用了主密钥完全前向保密，则会忽略该参数。)

4、保护身份：单击方法按钮，在弹出的密钥交换安全措施对话框中安全措施首选顺序以及IKE安全算法细节作出选择。

5、完整性算法：MD5或SHA1。

6、加密算法：3DES或DES。

7、Diffie-Hellman小组：选择作为将来密钥基础的Diffie-Hellman小组：

8、使用低(Diffie-Hellman小组1)来为96位的密钥提供密钥材料。

9、使用中(Diffie-Hellman小组2)来为128位的密钥(更强)提供密钥材料。