启用IP安全保护策略
做好前面的各项准备工作后,我们现在就能开始创建并启用IP安全保护策略,来保护局域网WEB服务器只对特定网段的工作站进行定向开放了,下面就是具体的操作步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击回车键后,打开本地系统的组策略编辑窗口;在该编辑窗口的左侧显示区域中,用鼠标双击其中的“计算机配置”项目,并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置,在本地计算机上”选项。
在对应“IP安全设置,在本地计算机上”选项的右侧显示区域中,用鼠标右键单击空白区域,并执行快捷菜单中的“创建IP安全策略”命令,并在其后界面中根据提示逐步单击“下一步”按钮,打开目标安全策略的属性设置窗口,如图6所示。
 |
| 图6 |
接着单击该窗口中的“添加”按钮,在其后弹出的向导窗口中依次选中“此规则不指定隧道”选项、“所有网络连接”选项、“Kerberos V5”选项,接下来在IP筛选器列表中我们就会看到前面已经创建好的“WEB定向开放”与“WEB全部开放”项目,选中“WEB定向开放”项目,并将该筛选项目设置为“允许”;之后再选中“WEB全部开放”项目,并将该筛选项目设置为“阻止”,最后单击“确定”按钮,完成IP安全保护策略的创建工作。
总结:
经过上面的几步,我们基本完成了web服务器的保护工作,不过最后还要经过一点小小的“修饰”,我们重新返回到系统组策略编辑窗口,在“计算机配置”/“Windows设置”/“安全设置”/“IP安全设置,在本地计算机上”分支项目的右侧显示区域,我们会看到前面已经创建成功的IP安全保护策略,用鼠标右键单击该策略选项,并执行快捷菜单中的“指派”命令,这么一来局域网WEB服务器就能受到我们前面创建好的IP安全策略保护了,在该策略保护下局域网WEB服务器只对10.176.6.0网段的工作站用户开放,其他网段的任何用户通过任何协议都无法访问到WEB服务器。
