IP安全原則的幾點誤區
OK現在我們看網上流傳的誤區
誤區一
有了IP安全原則 可以拋棄所有的防火牆了
批判:
微軟關於IPSEC中已經明確指出
Windows IPsec 並不是功能全面並關於主機的防火牆,它也不支持動態篩選功能或有狀態篩選功能
補充: IPSEC 只能阻止 特定連接阜的所有資料流(正常的和攻擊的資料流都阻止)
但是80連接阜是不能列為 IPSEC的 禁止範圍的,因此 原則 在反彈木馬前是無效的.
同理 比如QQ連接阜 MSN的連接阜 等等 都不能列為 禁止範圍.
誤區二
IP原則組是windowsXP原有的防火牆的規則
批判:
IPSEC早在WIN2000的時候就有了 那時還沒什麼系統原有的的防火牆.
系統原有的的防火牆和IPSEC是完全不同的元件.
因此這種說法是荒謬的.
誤區三
IPSEC 能阻止大部分木馬和蠕蟲
批判
看似正確,其實錯誤
IPSEC通過強行關閉特定的連接阜來阻止木馬或蠕蟲
比如 衝擊波利用了135、137、138、139、445等連接阜
你用IPSEC 禁止了上述連接阜 禁了衝擊波,也無法使用文件共享.
要是遇到 自訂連接阜的木馬,也就束手無策了,關閉所有連接阜吧,和直接拔網線沒區別,不禁吧 等於沒防護.
因此IP安全原則是無法替代防火牆的,更不是什麼XP原有的防火牆的規則.
IPsec的真正作用 並不是防禦病毒和關閉連接阜.
大家看微軟關於IPSEC的敘述(本篇引用的部分也來自這裡)
|