現在很多企業都在自己內網建立了基於Web技術的業務和財務系統,要運行這些系統就需要一台Web服務器。一般情況下,單位不會購買大量安全設備或軟件,那麼如何加強企業內網的Web服務器的安全?Windows提供了一個足以匹敵專業級安全設備的功能——IPSec,只要用戶進行簡單的設置後就可以讓自己的Web服務器強壯起來,防御發生於內網的各類攻擊。www.sq120.com推薦
下面來看看如何通過IPSec來對計算機進行設置,這裡假設有一台IIS的Web服務器並且此服務器提供的外部訪問端口是1666,並且只可以讓IP地址是192.168.X.X網段的計算機對它進行訪問。
建立過濾列表
完成Web服務器的建立後,在站點屬性窗口中設置訪問端口是1666,然後重新啟動IIS使設置生效。在運行窗口中輸入“gpedit.msc”啟動組策略管理器,展開“計算機配置→Windows 設置→安全設置→IP安全設置,在本地計算機上”,右擊右邊的空白處,在出現的菜單上點擊“管理IP篩選器表和篩選器操作”菜單。
在出現的“管理IP篩選器表和篩選器操作”窗口中選擇“管理IP篩選器表”標簽中的添加按鈕,隨後出現添加窗口,在添加窗口中為這個篩選器表起個名字,比如“Web進入”,然後再點擊“添加”窗口,此時會看到一個向導。TW.WINgWIT.coM
在向導中的“源地址”中選擇“一個特定的子網”,然後在下面的IP信息中輸入IP地址為192.168.0.1,子網掩碼為255.255.0.0,接著點“下一步”,在“目標地址”中選擇“我的IP地址”也就是服務器的IP地址。
接著選擇“TCP”協議,選擇“到此端口”並輸入1666,這樣就完成了列表的建立,上面的步驟就表示凡是192.168網段的計算機都可以訪問此服務器。
但是IPSec有個弱點,就是它沒有默認的拒絕功能,也就是除了上面的列表外,我們還要建立一個阻止列表。操作步驟和前面類似,只是在“源地址”中要選擇“任何IP地址”,在協議中選擇“任意”,最後完成此列表建立,並為此列表起一個名字比如“全部訪問”。
建立篩選器
完成了列表建立後,就該建立篩選器了,由於篩選器中有了一個“許可”篩選器,所以只要再建立一個“阻止”篩選器就可以了。
在“管理篩選器操作”標簽中點“添加”按鈕,在出現的向導頁中輸入篩選器名字,然後選擇“阻止”即可完成篩選器的建立。
啟動IPSec
現在就可以建立並啟動IPSec的安全保護功能,其方法是在完成上面步驟後,在圖中點“創建IP安全策略”菜單,隨後輸入一個名字,連續點擊幾個“下一步”,將打開一個屬性窗口。
在屬性窗口中點“添加”按鈕,依次選擇“此規則不指定隧道”、“所有網絡類型”、“Kerberos V5”,隨後可以看見前面建立的列表,此時選擇“Web進入”後點“下一步”接著會看到篩選器,選擇“允許”最後完成設置。
再次在屬性窗口中點“添加”按鈕,重復上面的操作,只是在列表選擇時選擇“全部訪問”,在選擇篩選器的時候選擇“阻止”。
完成上面的操作後,再次查看就會發現在原來的窗口右邊多了一個策略,此時右擊該策略,並點“指派”菜單 ,這樣新的策略就被啟動。
From:http://tw.wingwit.com/Article/Network/201309/963.html