【IT168 专稿】目前很多单位都在局域网内部架设了一台WEB服务器,以便用来发布一些业务信息或财务信息,为了不让非法用户随意访问WEB服务器,规模较大的单位往往会不惜重金去购买专门的安全软件或保护设备,来“护驾”局域网服务器的安全。但对规模较小的单位来说,他们完全不需要单独购买安全设备或安全工具,只需要借助Windows服务器系统自带的IPSEC功能,来创建一个只对特定工作站进行开放的安全策略,从而达到保护WEB服务器被他人随意访问的安全目的了。
为方便叙述,现在本文假设单位局域网WEB服务器使用1588端口向外提供Web服务,并要求只能让10.176.6.0网段的工作站用户通过TCP/IP协议方式访问该服务器,而禁止其他网段的工作站用户通过任何协议方式访问该服务器,以确保让WEB服务器真正实现“定向”开放目的。
创建WEB服务器允许访问列表
为了能让来自10.176.6.0网段的工作站用户通过TCP/IP协议方式访问局域网WEB服务器,我们需要先在服务器系统中创建一个WEB服务器访问过滤列表。在创建WEB服务器访问过滤列表时,我们可以按照如下步骤进行操作:
首先依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“Internet信息服务管理器”命令,打开本地服务器系统中的IIS控制台窗口,然后用鼠标右键单击局域网WEB服务器选项,从弹出的快捷菜单中执行“属性”命令,打开该服务器的站点属性设置窗口,并在该设置窗口中将WEB服务器的通信端口修改为“1588”,然后重新将IIS服务器启动一下,就能使WEB服务器只通过“1588”端口向外提供服务了。
接着返回到服务器系统桌面中,并用鼠标依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击回车键后,打开本地系统的组策略编辑窗口;在该编辑窗口的左侧显示区域中,用鼠标双击其中的“计算机配置”项目,并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置,在本地计算机上”选项。
在对应“IP安全设置,在本地计算机上”选项的右侧显示区域中,用鼠标右键单击空白区域,从弹出的如图1所示快捷菜单中执行“管理IP筛选器表和筛选器操作”命令, 并在其后界面中选中“管理IP筛选器列表”标签,再在对应标签页面中单击“添加”按钮,弹出一个IP筛选器列表创建向导对话框。在这里,我们可以为即将创建的新IP筛选器列表取一个合理名称,例如“WEB定向开放”(如图2所示), 再单击该窗口中的“添加”按钮。
 |
| 图1 |
 |
| 图2 |
当向导窗口要求我们输入“源地址”时,我们必须选中“一个特定的子网”,并在随后被激活的IP信息框中输入目标网段的起始IP地址,这里应该输入的是“10.176.6.1”,同时将对应网段的子网掩码设置为“10.176.6.0”,再单击“下一步”按钮;当向导窗口要求我们输入“目标地址”时,我们必须从中选择“我的IP地址”选项,同时将WEB服务器的IP地址正确地填写在这里。
接下来,向导窗口会要求我们选择具体的通信协议,我们必须将“TCP/IP”协议选中,再单击“下一步”按钮,打开如图3所示的参数设置界面; 选中该界面中的“到此端口”项目,并在对应该项目的文本框中输入WEB服务器的通信端口,这里输入的端口号码应该为“1588”。结束上面的各项参数设置操作后,最后单击“完成”按钮,如此一来访问WEB服务器的过滤列表就创建成功了,日后来自10.176.6.0网段的任何一位工作站用户都有权利访问局域网服务器了。
 |
| 图3 |
