利用IPSec安全策略阻断内网违规外联

在某些企业中出于安全目的建设了信息内、外网两套物理隔离网络系统，与生产相关的重要应用均在信息内网中运行。由于用户终端数量众多，员工使用习惯各异，不可避免的存在内网终端违规外联的情况，导致企业重要机密外泄风险可能性大大提高。

违规外联的表现形式主要有以下三种：

• 内网终端通过修改网卡IP地址、更换信息点接口接入外网。

• 内网终端为配置无线网卡（WiFi）的笔记本电脑，该无线网卡连接了外网的无线路由器。

• 内网终端上安装了USB 3G上网卡直接接入互联网。

为防止上述违规行为的发生，比较常规的方式是部署桌面行为管理软件、IP与MAC地址绑定、部署防火墙并添加安全策略等，这些常规方法能在一定程度上起到作用，但是不能在根源上阻断非法外联事件发生，特别是对于无线方式接入，常规防范方法效果甚微。

本文提供了一种通过配置IPSec安全策略，在根源（终端侧）阻断违规流量的方法，其主要实现思想是根据企业信息内网IP地址分配特点，在终端机器上通过配置IPSec安全策略，允许目的地址为内网IP的流量通过，同时禁止其它流量，从而有效的解决上述三种主要违规外联方式的发生。

1 IPSec安全策略介绍

1.1 IPSec安全体系结构

IPSec（Internet Protocol Security，Internet协议安全），是网络安全业内的一种开放标准，通过使用加密安全服务以确保网络通信的保密性和安全性。IPSec是一种跨平台的安全标准，目前主流的操作系统基本都支持IPSec，都可以通过IPSec来提升安全性。

IPSec是集多种安全技术为一体的安全体系结构，是一组IP安全协议集。IPSec工作在网络层，对用户和应用程序是透明的，它可以提供对服务器的受限制的访问，可以自定义安全配置。IPSec提供的功能主要有以下三种：

• 数据加密。IPSec提供了数据加密服务，保证了数据在传输过程中不被非法用户窃听，它由IPSec中的ESP（Encapsulating Security Payload,封装安全载荷）模块提供，算法采用CBC（Cipher Block Chaining,加密块链接）方式，这样确保了即使信息在传输过程中被窃听，非法用户也无法得知信息的真实内容。

• 数据源地址验证和数据完整性检查。IPSec使用HMAC（Hash-Base Message Authentication Code,基于哈希算法的消息认证码）进行数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容等在传输过程中不变的字段计算出来的，具有唯一性。数据如果在传输过程中发生改动，在接收端就无法通过验证。

• 防止重发攻击。IPSec使用AH（Authentication Header,认证头）为每个SA（Seccurity Association,安全关联）建立系列号，而接收端采用滑动窗口技术，丢弃所有重复的包，因此可以防止重发攻击。

IPSec是安全联网的长期方向，它通过端对端的安全性来提供主动的保护，以防止来自专用网络与Internet的攻击。在通信中，只有发送方和接收方才是惟一必须了解IPSec保护的计算机。IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet以及漫游客户端之间的通信。
 

1.2 IPSec安全策略

在Windows系统中，IPSec被设计成了组策略中的一个组件，称为IPSec安全策略。在本文的案例中，主要是在内网终端使用率比较高的Windows 7系统中配置IPSec安全策略，所有操作同样也适用于Windows XP/Windows 8系统。

在“开始\运行”中输入并执行“gpedit.msc”，打开组策略编辑器，在“计算机配置\windows设置\安全设置\IP安全策略”中可以对IPSec进行配置。

IPSec安全策略的功能主要通过IPSec规则实现，通过IPSec规则来确定允许或禁止哪些网络通信，或是对哪些网络通信进行加密。每条IPSec规则又包括“IP筛选器”和“筛选器操作”两部分。筛选器的作用是用来定义数据类型，筛选出符合要求的数据；筛选器操作则用来指定对这些筛选出来的数据进行什么操作。

因而，定义IPSec规则主要分两步进行：首先定义IP筛选器，然后定义对筛选器的操作。