【IT168 专稿】目前很多单位都在局域网内部架设了一台WEB服务器,以便用来发布一些业务信息或财务信息,为了不让非法用户随意访问WEB服务器,规模较大的单位往往会不惜重金去购买专门的安全软件或保护设备,来“护驾”局域网服务器的安全。但对规模较小的单位来说,他们完全不需要单独购买安全设备或安全工具,只需要借助Windows服务器系统自带的IPSEC功能,来创建一个只对特定工作站进行开放的安全策略,从而达到保护WEB服务器被他人随意访问的安全目的了。
为方便叙述,现在本文假设单位局域网WEB服务器使用1588端口向外提供Web服务,并要求只能让10.176.6.0网段的工作站用户通过TCP/IP协议方式访问该服务器,而禁止其他网段的工作站用户通过任何协议方式访问该服务器,以确保让WEB服务器真正实现“定向”开放目的。
创建WEB服务器允许访问列表
为了能让来自10.176.6.0网段的工作站用户通过TCP/IP协议方式访问局域网WEB服务器,我们需要先在服务器系统中创建一个WEB服务器访问过滤列表。在创建WEB服务器访问过滤列表时,我们可以按照如下步骤进行操作:
首先依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“Internet信息服务管理器”命令,打开本地服务器系统中的IIS控制台窗口,然后用鼠标右键单击局域网WEB服务器选项,从弹出的快捷菜单中执行“属性”命令,打开该服务器的站点属性设置窗口,并在该设置窗口中将WEB服务器的通信端口修改为“1588”,然后重新将IIS服务器启动一下,就能使WEB服务器只通过“1588”端口向外提供服务了。
接着返回到服务器系统桌面中,并用鼠标依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击回车键后,打开本地系统的组策略编辑窗口;在该编辑窗口的左侧显示区域中,用鼠标双击其中的“计算机配置”项目,并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置,在本地计算机上”选项。
在对应“IP安全设置,在本地计算机上”选项的右侧显示区域中,用鼠标右键单击空白区域,从弹出的如图1所示快捷菜单中执行“管理IP筛选器表和筛选器操作”命令, 并在其后界面中选中“管理IP筛选器列表”标签,再在对应标签页面中单击“添加”按钮,弹出一个IP筛选器列表创建向导对话框。在这里,我们可以为即将创建的新IP筛选器列表取一个合理名称,例如“WEB定向开放”(如图2所示), 再单击该窗口中的“添加”按钮。
图1 |
图2 |
当向导窗口要求我们输入“源地址”时,我们必须选中“一个特定的子网”,并在随后被激活的IP信息框中输入目标网段的起始IP地址,这里应该输入的是“10.176.6.1”,同时将对应网段的子网掩码设置为“10.176.6.0”,再单击“下一步”按钮;当向导窗口要求我们输入“目标地址”时,我们必须从中选择“我的IP地址”选项,同时将WEB服务器的IP地址正确地填写在这里。
接下来,向导窗口会要求我们选择具体的通信协议,我们必须将“TCP/IP”协议选中,再单击“下一步”按钮,打开如图3所示的参数设置界面; 选中该界面中的“到此端口”项目,并在对应该项目的文本框中输入WEB服务器的通信端口,这里输入的端口号码应该为“1588”。结束上面的各项参数设置操作后,最后单击“完成”按钮,如此一来访问WEB服务器的过滤列表就创建成功了,日后来自10.176.6.0网段的任何一位工作站用户都有权利访问局域网服务器了。
图3 |
创建WEB服务器阻止访问列表
考虑到Windows服务器系统自带的IPSEC功能在缺省状态下不具有拒绝访问功能,为了让其他网段的工作站用户不能通过任何协议方式访问局域网WEB服务器,我们还需要创建一个WEB服务器阻止访问列表。在该创建这种类型的列表时,我们首先需要打开本地服务器系统的组策略编辑窗口,依次选择该窗口左侧显示区域中的“计算机配置”、“Windows设置”、“安全设置”、“IP安全设置,在本地计算机上”选项,在对应“IP安全设置,在本地计算机上”选项的右侧显示区域中,用鼠标右键单击空白区域,再执行快捷菜单中的“管理IP筛选器表和筛选器操作”命令,然后选中“管理IP筛选器列表”标签。
在对应标签页面中单击“添加”按钮,弹出一个IP筛选器列表创建向导对话框。在这里我们可以创建一个名为“WEB全部开放”的IP筛选器列表,并单击该窗口中的“添加”按钮;当向导窗口要求我们输入“源地址”时,我们必须选中“任何IP地址”(如图4所示), 单击“下一步”按钮后,向导窗口要求我们输入“目标地址”,此时我们必须从中选择“我的IP地址”选项,同时将WEB服务器的IP地址正确地填写在这里。
图4 |
紧接着向导窗口会要求我们选择具体的通信协议,在这里我们将协议参数设置为“任意”,最后单击“完成”按钮,如此一来WEB服务器就能允许局域网中所有工作站通过任何协议来访问了。
创建阻止筛选器
为了让其他网段的工作站用户不能通过任何协议方式访问局域网WEB服务器,我们还需要对“WEB全部开放”访问列表进行筛选,并将其筛选操作设置为“阻止”,那样一来就能创建好WEB服务器阻止访问列表了。在创建“阻止”筛选器操作时,我们可以按照如下步骤进行操作:
首先按前面步骤打开管理IP筛选器表和筛选器操作对话框,单击其中的“管理筛选器操作”标签,并在对应标签页面中单击“添加”按钮,进入到IP筛选器操作管理向导界面,单击“下一步”按钮后,将该筛选器操作名称设置为“WEB阻止访问”,之后我们将看到如图5所示的设置界面, 在这里我们必须将操作行为设置为“阻止”,最后单击“完成”按钮就可以了。
图5 |
启用IP安全保护策略
做好前面的各项准备工作后,我们现在就能开始创建并启用IP安全保护策略,来保护局域网WEB服务器只对特定网段的工作站进行定向开放了,下面就是具体的操作步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击回车键后,打开本地系统的组策略编辑窗口;在该编辑窗口的左侧显示区域中,用鼠标双击其中的“计算机配置”项目,并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置,在本地计算机上”选项。
在对应“IP安全设置,在本地计算机上”选项的右侧显示区域中,用鼠标右键单击空白区域,并执行快捷菜单中的“创建IP安全策略”命令,并在其后界面中根据提示逐步单击“下一步”按钮,打开目标安全策略的属性设置窗口,如图6所示。
图6 |
接着单击该窗口中的“添加”按钮,在其后弹出的向导窗口中依次选中“此规则不指定隧道”选项、“所有网络连接”选项、“Kerberos V5”选项,接下来在IP筛选器列表中我们就会看到前面已经创建好的“WEB定向开放”与“WEB全部开放”项目,选中“WEB定向开放”项目,并将该筛选项目设置为“允许”;之后再选中“WEB全部开放”项目,并将该筛选项目设置为“阻止”,最后单击“确定”按钮,完成IP安全保护策略的创建工作。
总结:
经过上面的几步,我们基本完成了web服务器的保护工作,不过最后还要经过一点小小的“修饰”,我们重新返回到系统组策略编辑窗口,在“计算机配置”/“Windows设置”/“安全设置”/“IP安全设置,在本地计算机上”分支项目的右侧显示区域,我们会看到前面已经创建成功的IP安全保护策略,用鼠标右键单击该策略选项,并执行快捷菜单中的“指派”命令,这么一来局域网WEB服务器就能受到我们前面创建好的IP安全策略保护了,在该策略保护下局域网WEB服务器只对10.176.6.0网段的工作站用户开放,其他网段的任何用户通过任何协议都无法访问到WEB服务器。