Использование IPsec в качестве брэндмауэра

Материал из МФТИ-телеком.

Вообще IPSec(от IP Security) — это стандарт достоверной/конфиденциальной передачи данных по сетям IP.

Но службу IP Security Policy в Windows можно использовать в качестве фаирвола (firewall).

Покажем в скриншотах как настроить IPsec с целью чтобы интернет-трафик не шел через высокоскоростное соединение (актуально в случае тарифа "безлимитный")

1. Control Panel -> Administrative Tools -> Local Security Policy.

Выбираем "IP security policies..". Кликаем правой клавишей-> "Create IP security policy"

2. Запустится мастер установки политики.

3. Введите название.

4. Убираем галочку.

5. Убираем галочку "Edit". Вернёмся к редактированию позже. Жмём Finish.

6. А пока создадим фильтр "Deny". Кликаем правой клавишей ->"Manage IP filter lists and filter actions..".

7. Переходим на вкладку "Manage Filter Actions".

8. Жмём Add и вводим название фильтру "Deny".

9. Action = Block

10. Жмём Finish. Галку edit properties не трогаем.

11. Close. Закрываем окно.

12. Возвращаемся к нашей политике. Кликаем правой клавишей по ней -> Properties.

13. Первое, что мы должны сделать - закрыть всё для всех. (Открывать будем позже.) Жмём Add.

14. Если вы настраиваете IPSEC с целью чтобы интернет-трафик не шел через высокоскоростное соединение, выберите Local Area Network. (В этом случае, интернет через VPN будет работать) Если вы настраиваете IPSEC с целью закрыть\открыть конкретные порты, выберите All network connections (в этом случае правила будут применяться к всем соединениям, и в т.ч. VPN)

15. Оставляем по умолчанию.

16. Добавим. Жмём Add.

17. Выбираем в качестве источника Any IP Address.

18. Выбираем в качестве назначения наш айпи My IP Address. По умолчанию, фильтр добавляется с галкой Mirrored. Это означает. что нам нет необходимости добавлять ещё один фильтр, указывая в качестве источника My IP Address и назначения Any IP Address. (НО! Если вы настраиваете IPSEC с целью закрыть/открыть конкретные порты, галку mirrored необходимо убрать, т.к. правило будет действовать в обоих направлениях)

19. Все протоколы.

20. Так выглядит окно после добавления фильтра. Жмём OK.

21. Выбираем наш фильтр. Жмём Next.

22. Выбираем Deny. Жмём Next.

23. Теперь нам нужно добавить локальные посети. Жмём Add

24. Выбираем в качестве источника A specific IP Subnet. Вводим адрес и маску.

25. Выбираем в качестве назначения наш айпи My IP Address.

26. Все протоколы.

27. Теперь процедуру нужно повторить для всех локальных подсетей:

194.85.80.0/255.255.252.0

172.16.0.0/255.240.0.0

192.168.0.0/255.255.0.0

10.0.0.0/255.0.0.0

193.125.142.0/255.255.254.0

81.5.64.0/255.255.192.0

192.188.189.0/255.255.255.0

Так будет выглядеть окно после проделанной операции:

28. Жмём OK. Выбираем наш фильтр. Жмём Next.

29. Выбираем Permit. Жмём Next.

30. Жмём OK.

31. Теперь осталось применить фильтр. Кликаем правой клавишей по нашей политике -> Assign.

32. И напоследок надо убедиться, что сервис IPSEC работает и автоматически запускается.

Control Panel -> Administrative Tools -> Services

Ищём IPSEC Services. Ставим Startup type = Automatic.