技術領域

本發明涉及通信防御技術，特別是通過IPsec策略防止違規外聯的方法。

背景技術

基于IP地址的訪問控制能力十分脆弱，因攻擊者可以很容易利用偽裝的IP地址來發送IP報文。許多攻擊者利用機器間基于IP地址的信任，來偽裝IP地址。注冊的桌面終端也可通過桌面管理系統禁止違規外聯阻斷，但這種通過桌面管理系統禁止違規外聯阻斷的方法受規章制度限制，無法大范圍被應用。

發明內容

本發明的目的在于提供一種通過IPsec策略防止違規外聯的方法，能有效、合規地阻止違規外聯行為，可被廣泛實施，通用性強。

本發明的目的是這樣實現的：一種通過IPsec策略防止違規外聯的方法，①在運行內輸入gpedit.msc打開組策略窗口并創建IP安全策略起名為“IPsec”；②雙擊已創建好的IP安全策略（防外聯）進行配置，將不允許訪問的IP地址填入到不允許篩選列表內。

本發明所利用的IPSec(Internet?Protocol?Security)允許設備使用比源IP地址更安全的方式來認證IP數據報的來源，即通過WINDOWS操作系統組策略中的IPSEC策略，能有效阻止本地計算機和信息內網以外的網絡通訊。Windows系統內部集成了很多安全特性，這包括本地安全及審核策略、加密文件系統、TCP/IP過濾、IP安全(IPSec)等等，其中的TCP/IP過濾為用戶提供了一個簡單、易于配置、易于使用的網絡安全保障工具。它是用于本地主機TCP/IP通訊的一組篩選器。使用TCP/IP篩選可以為每個IP接口嚴格指定所處理的傳入TCP/IP通訊類型。該功能設計用于隔離Internet或Intranet服務器所處理的通信。本發明能有效、合規地阻止違規外聯行為，可被廣泛實施，通用性強。

具體實施方式

一種通過IPsec策略防止違規外聯的方法，①在運行內輸入gpedit.msc打開組策略窗口并創建IP安全策略起名為“IPsec”；(此處不能使用中文，使用中文命名會造成無法使用命令行進行激活，使用中文名稱“防外聯”，是為了方便理解。)②雙擊已創建好的IP安全策略(防外聯)進行配置，將不允許訪問的IP地址填入到不允許篩選列表內。

本發明在計算機上被實施的具體操作步驟為：

1、主密鑰完全前向保密：選擇保證沒有重用以前使用的密鑰材料或密鑰來生成其它主密鑰。

2、身份驗證和生成新密鑰間隔(A)：確定在其后將生成新密鑰的時間間隔。

3、身份驗證和生成新密鑰間隔(U)：限制主密鑰可以被當作會話密鑰的密鑰材料來重新使用的次數。(如果已經啟用了主密鑰完全前向保密，則會忽略該參數。)

4、保護身份：單擊方法按鈕，在彈出的密鑰交換安全措施對話框中安全措施首選順序以及IKE安全算法細節作出選擇。

5、完整性算法：MD5或SHA1。

6、加密算法：3DES或DES。

7、Diffie-Hellman小組：選擇作為將來密鑰基礎的Diffie-Hellman小組：

8、使用低(Diffie-Hellman小組1)來為96位的密鑰提供密鑰材料。

9、使用中(Diffie-Hellman小組2)來為128位的密鑰(更強)提供密鑰材料。