利用IPSEC阻止恶意程序访问网络

事半功倍的效果一直是我们做事情都希望能够实现，谁也不会希望杀鸡用牛刀。毕竟把简单问题复杂化不是我们的初衷。所以说并不是遇到流氓软件就一定要用IPSEC组件来封锁其带来的隐患的。然而在《自己动手剔除恶意插件或流氓软件》文章中介绍的两个方法，起不到应有的作用后，再通过IPSEC来解决。因为配置IPSEC并不是一项简单的操作。

    判断两种防护方法失效标准

    那么在什么情况下就表示修改HOSTS文件法与防火墙过滤法已经失去了安全防护作用呢？

    有的时候，我们想阻止某软件连接某网页，如某些恶意软件或阻止某软件联网认证，我们首先就是通过编辑HOSTS文件来实现，具体方法上期也介绍过了。但是一般情况下我们不可能把所有站点都清清楚楚的写到HOSTS文件中，特别是当恶意软件会同时连接多个站点地址的情况。这时我们的HOSTS过滤功能就不能发挥威力了。软件可能还通过其它网址连接网站，如我们忘记加入某某地址或者我们还有不知道的网址，从而导致封堵失败。

    通过系统默认自带的防火墙会自动过滤掉很多信息，这些信息可能有的是我们需要的，他也会随着过滤功能的开启而被禁止传输。所以防火墙过滤法容易把我们本来需要的网络信息也给过滤掉。如果发现使用防火墙过滤法后我们的实际使用受到了影响，例如某些软件无法正常使用或者网络工具无法顺利登录等，这时我们应该首先去掉系统的防火墙功能，如果上述问题不再出现，那么就说明通过防火墙过滤法不能顺利的封堵相应软件带来的安全隐患，在封堵的同时也影响我们正常使用其他软件，我们只能另寻高招了。

    利用IPSEC进行封堵所谓IPSEC就是Windows系统自带的IP安全策略设置组件，通过他可以针对网络数据的源IP地址，目的IP地址以及使用的协议，端口等信息进行详细的设置，这样就可以管理进出计算机的网络流量信息了。换句话说，它类似于路由交换设备中的访问控制列表，控制着数据的访问权限。默认情况下windows XP系统和windows 2000系统都会有这个组件。下面我们就以Alcohol 120%为例进行介绍，看看如何通过IPSEC这个IP安全策略设置组件完成对该软件组件自动更新功能的封堵。这样以后再面对其他恶意软件或流氓程序时就可以按照同样的方法来过滤其对网络的访问了。

    1、创建安全策略：

    在使用IPSEC封堵安全隐患前需要我们建立一个安全策略。

    第一步：“开始->控制面板->管理工具->本地安全设置”来启动我们的IPSEC程序。

    第二步：在左边选择“IP安全策略，在本地计算机”，然后在右边窗口的空白处点鼠标右键选择“创建IP安全策略”。（如图1）

图1

    第三步：接下来会出现“IP安全策略向导”，我们点“下一步”按钮继续。（如图2）

图2

    第四步：为你要建立的IP安全策略起一个名称，例如笔者就起了一个叫做“阻止Alcohol 120%联机”的名字。然后点“下一步”按钮继续。（如图3）

图3

    第五步：设置安全通讯请求，指定这个策略如何对安全通讯的请求做出反应。我们在“激活默认响应规则”前打对勾后点“下一步”按钮。（如图4）

图4

第六步：接下来的默认相应规则身份验证方式的设置我们只需要保持默认即可。（如图5）

图5

    第七步：点“下一步”后会出现一个“警告”提示，我们不用理会点“是”按钮。（如图6）

图6

    第八步：完成IP安全策略向导的创建工作，点“完成”按钮结束。不过我们仅仅创建了还不够，还需要修改里面的属性，所以需要把“编辑属性”前的都勾选中。（如图7） 

图7

    2、创建IP安全规则：

    前面我们已经通过IP安全策略向导建立了一个安全策略，接下来就是要把具体的安全规则添加到这个策略中了。

    第一步：在编辑名为“阻止Alcohol 120%联机”的属性时，默认只有一个名为“动态”的筛选器，我们需要点“添加”按钮自定义一个。（如图8）

图8

    第二步：然后会自动启动“创建IP安全规则向导”，这个和前面所说的“IP安全策略向导”是不同的，是对一条条规则进行具体制定。（如图9）

图9

第三步：指定安全规则向导中隧道终结点的信息，这个没有什么用，保持“此规则不指定隧道”即可。（如图10）

图10

    第四步：在网络类型设置处选择“所有网络连接”。（如图11）

图11

    第五步：身份验证方法依然是默认的active directory。（如图12）

图12

    第六步：对于弹出的警告窗口依然采取不理会的态度，点“是”按钮忽略。（如图13）

图13

    第七步：由于我们准备过滤掉Alcohol 120%程序对网络的访问，而且Alcohol 120%是通过TCP/IP协议传输数据的，大部分网络软件都是通过此协议，所以在IP筛选器列表设置窗口中选择“所有IP通讯量，然后点“添加”按钮。（如图14）

图14

第八步：按照实际情况输入名称和描述，然后点“编辑”按钮。（如图15）

图15

    第九步：由于我么需要知道Alcohol 120%连接到的www.alcohol-soft.com的确切IP地址，所以在命令行窗口中通过PING命令来解析下其对应的IP地址。（如图16）

图16

    第十步：在编辑窗口中源地址设置为“我的IP地址”，目的地址选择“一个特定的IP地址，并且地址信息添加刚才解析得到的数据。最后点“确定”按钮即可。（如图17）

图17

    第十一步：点“下一步”按钮继续设置。（如图18）

图18

第十二步：在接下来的“请为这个安全规则选择筛选器操作”处，选择“许可”，然后点右边的“编辑”按钮。（如图19）

图19

    第十三步：我们不希望Alcohol 120%访问网络，所以在“许可”属性中点“阻止”。（如图20）

图20

    第十四步：最后还有关键的一步，那就是回到“本地安全设置”处要在已经建立的安全策略上点鼠标右键选择“指派”，让这个安全策略生效。（如图21）

图21

    第十五步：再次启动Alcohol 120%，会发现再也不会弹出发现新版本的提示窗口了。（如图22）

图22

    实际上通过IPSEC安全策略组件管理网络数据流量是个非常方便的办法，我们可以像设置路由交换设备的访问控制列表一样，灵活轻松的管理每个软件每个程序对网络的访问，对源地址，目的地址，使用端口，使用程序等信息全面规划，将我们的系统保持在一个安全高效的运行状态。