说到IPSec，我承认他所带来的安全性还是值得承载的，但是微软为什么要将TCP/IP筛选和IPSec分开当然是有他的道理。在我个人认为IPSec是建立在TCP/IP筛选上的，没有合理的配置TCP/IP筛选而直接去做IPSec等同于虚设。而目前很多技术人员过多地只依赖于IPSec，认为只要将它设置好就可以保证服务器的安全，在我看来这点见解我不敢苟同。

      就像之前提过的IPSec是建立在TCP/IP筛选上的这个说话，实际仔细揣摩还是能够理解它的意思！通常我的做法都是先对服务器当前运营程序作评估和统计，得出端口使用明细后会首先设置TCP/IP筛选，比如一台网站服务器，上面运行着IIS、FTP、MSSQL以及邮件系统，并允许RemoteDektop。他所涉及到的端口为：80、20、21、1433、25、110、3389，另外如果FTP要求被动模式，还应该添加被动端口段。为此，在TCP/IP筛选中添加以上这些端口。这样网站服务器就基本安全了。这时，可能要考虑到1433和3389的安全性，希望能够加固此端口，这时就可以利用IPSec来实现更加安全的配置。比如限制哪些IP可以访问3389和1433。

      IPSec确实也可以实现以上的目标，但是现在我们来假设一个情景。单独使用IPSec实现了以上的目标，此时网站运营程序出现漏洞，导致黑客上传后门程序，在服务器上开放了一个后门端口5666，后果可想而知！而使用TCP/IP筛选就可以有效避免这个问题，因为之前已经配置了筛选，只允许特定端口开放，那么当后门程序开放了一个端口后，它也只是在回环IP上起作用，也就是127.0.0.1或者Localhost上！那么这个黑客后门程序实际上已经无法构成威胁！就像一个Public的主机，通常这类主机是虚拟主机，需要开放很多权限以满足客户的需要，主要的安全就涉及到FSO！所以面对这类主机，我通常会肯定的说明他不是绝对的安全。为什么会这样讲呢？因为我可以保障服务器的主要目录不受到威胁，但最终客户目录却无法保障。扯得有些远了！此篇备忘主要记录关于TCP/IP筛选的问题。