问：我们现在使用租用线来连接分支机构。终端是分支机构的应用程序和服务设备，比如微软邮件管理程序Microsoft Outlook和打印机。我们想要为分支机构建立安全互联网协议（IPsec）过滤器，这样他们就可以与总部连接。我们注意到将设置集中化，分支机构就会不用服务器。那么我们应该如何确定哪些端口应该打开，哪些应该关闭？在这种评估中，常见的错误有哪些？

　　答：Internet协议安全性（IPSec）是一个伟大的协议，因为它提供了分组级完整性，认证和加密等功能。经过正确配置后，它可以成为网络安全防护体系中功能强大、性能通用的一个组成部分。

　　IPSec也使确认可以使用服务器上运行的服务程序的人成为可能。因此，举例来说，IPSec可以通过设置，加密所有的终端服务网络流量，并检查来自授权用户电脑、在传输过程中未被改变的数据包。在你的总公司和分支机构之间的网络上构建IPSec过滤器，理论上讲，你需要在非产品服务器和工作站上进行测试和验证这些过滤器。这样做可以确保正确的用户可以获取合适的服务，并确保你没有不小心拒绝了为合法用户提供服务。

　　尽管你的应用程序文件应当提供它们所有需要用到的端口和协议，但是仍然需要仔细检查，以确保所有的服务能正常运行。比如，如果防火墙将你的服务器和工作站隔离开来，防火墙必须保证TCP 端口50 和 51，以及 UDP 端口500开放，允许各种IPsec 和因特网密钥交换（IKE）流量通过。

　　IPsec的另一个优点是，IPsec制定了一条规则，可以将其修改设置为仅允许特定的IP地址访问系统。当所有的服务器的收听服务使用的必需协议和端口已经经过选择和过滤了，只要确定网络的主机或者你想要连接的分支网络。最后，创建一个过滤器来阻止那些未经允许流量。

　　要测试过滤器，简单的方法是尝试从被允许的分支网络和不允许连接的地址进入你的主要办公服务系统。检查分支机构工作站与你的主要办公服务器之间的连接是否经过加密，可以使用Windows IPsec监控工具Ipsecmon.exe。

　　启动从客户机到服务器的连接，并检查Ipsecmon.exe在其监控窗口上显示的连接情况。状态指示器应当显示IP安全已在该计算机上运行。如果没有，那么就需要确定该策略是由组策略编辑器分配的。

　　Vista系统的一个明显的改进是将防火墙过滤功能和IPsec保护功能设置结合在一起。这样，当启动防火墙过滤器时，它将不再与IPsec策略冲突。现在使用一种名为Windows防火墙的snap-in，它具有高级安全功能，就可以对防火墙规则进行确认、添加，修改和删除。

　　最后，运行深度防御的安全模式来保护网络。IP安全过滤器应当只是总体防御系统中的一部分。毕竟，它们只是网络过滤器，并不能阻止服务拒绝攻击，或防止过滤器所允许的应用程序在服务器上的运行。