巧用IPSec让Web服务器"服务"特定网段
【IT168 专稿】不少单位目前都架设了局域网网络,并且建立了基于内网的Web服务器。正常来说,规模不大的单位往往不会耗费大量的资金去选购专业的安全防护软件或安全保护设备,在这种情形下,我们究竟该如何保护内网Web服务器的安全,让Web服务器只能为特定网段中的工作站提供访问“服务”,而不允许其他非法用户随意访问呢?其实,我们可以巧妙地利用Windows系统自带的IP安全策略功能,来保护Web服务器安全地运行,以便实现各种安全防护目的。现在,我们只要对Windows系统的IP安全策略功能进行合适设置,就能让局域网中特定网段里的工作站来访问Web服务器,而其他网段中的工作站都将无权访问Web服务器。
Web服务器限制访问目标
假设单位局域网中有一台Web服务器,该服务器在默认状态下使用80端口与外部网络进行通信;为安全起见,我们希望Web服务器能够使用1800端口与外部网络进行通信;为了防止Web服务器中的重要隐私信息对外泄露,我们希望Web服务器只允许来自10.176.x.x网段中的工作站对它进行访问,而不允许其他网段中的工作站对它进行访问。要实现这一限制访问目标,我们只需要在Web服务器所在的主机系统中,对IP安全策略功能进行合适设置就可以了。
建立限制访问过滤列表
由于非法攻击者都知道Web服务器在默认状态下启用了80端口,网络病毒或木马都可能会通过这个80端口对Web服务器实施非法攻击,从而会给Web服务器带来安全威胁,因此我们有必要修改Web服务器使用的外部连接端口号码,以便让非法用户或病毒木马无法知道Web服务器的外部连接端口号码,那样一来Web服务器受到非法攻击的机率就会大大降低了。在修改Web服务器的通信端口时,我们可以依次单击Web服务器所在主机系统桌面中的“开始”/“设置”/“控制面板”命令,在其后出现的窗口中依次双击“管理工具”/“Internet 信息服务”图标,打开IIS控制台窗口;
在该控制台窗口的左侧列表窗格中,找到目标Web服务器主机名称,并用鼠标右键单击该主机名称,从弹出的快捷菜单中执行“属性”命令,打开目标Web服务器站点的属性设置界面,单击该设置界面中的“常规”标签,进入如图1所示的标签设置页面,在该页面的“TCP端口”文本框中直接将“80”端口号码修改成“1800”,并单击“确定”按钮结束IIS服务器的端口属性设置操作。当然,为了让IIS服务器的新端口立即生效,我们应该及时重新启动一下IIS服务器系统。
在Web服务器的新端口生效后,我们再依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”命令,单击回车键后,打开系统的组策略编辑窗口;在该编辑窗口的左侧显示区域,将鼠标定位于“计算机配置”分支选项上,然后依次展开该分支选项下面的“Windows设置”/“安全设置”/“IP安全设置,在本地计算机上”项目,在对应“IP安全设置,在本地计算机上”项目的右侧窗口空白位置处单击鼠标右键,从弹出的右键菜单中执行“管理IP筛选器表和筛选器操作”命令,打开一个标题为“管理IP筛选器表和筛选器操作”的对话框,单击该对话框中的“管理IP筛选器列表”标签,并在对应标签设置页面中单击“添加”按钮,在其后出现的界面中为新创建的IP筛选器表取一个合适名称,比方说笔者在这里为新IP筛选器表取的名称为“服务特定网段”,接着再用鼠标单击筛选器表名称旁边的“添加”按钮,此时屏幕上将会自动出现一个IP筛选器向导界面;
当向导界面要求我们指定IP通讯的源地址时,我们可以单击下拉按钮,并从弹出的下拉列表中选择“一个特定的IP子网”(如图2所示),紧接着在图2界面中的IP地址文本框中输入IP地址“10.176.0.0”,并将子网掩码参数设置为“255.255.0.0”;在确认这些参数输入正确后,单击“下一步”按钮,此时IP筛选器向导将会要求我们指定好IP通讯的目的地址,我们只要从这里的下拉列表中选择“我的IP地址”选项,也就是本地的Web服务器IP地址,设置好该项参数后,继续单击“下一步”按钮;
当向导界面要求我们选择IP协议类别时,我们可以从对应界面的下拉列表中选择“TCP”协议,之后单击“下一步”按钮进入如图3所示的向导设置界面;在该设置界面中选择“到此端口”项目,并在之后激活的文本框中输入“1800”,最后单击“完成”按钮,这样就能成功地完成Web服务器限制访问过滤列表了,那样的话来自特定网段10.176.x.x中的工作站就能够访问本地Web服务器中的重要隐私内容了。
不过遗憾的是,Windows系统自带的IP安全策略功能在缺省状态下没有拒绝功能,也就是说除了来自特定网段10.176.x.x中的工作站能够访问本地Web服务器中的重要隐私内容,其他子网中的工作站在默认状态下还是能够访问本地Web服务器中的重要隐私内容,为此我们还需要利用IP安全策略功能创建一个阻止访问Web服务器的列表,以便限制其他子网中的工作站非法访问本地Web服务器中的重要隐私内容。在创建这种阻止访问列表时,基本操作步骤与前面的没有多大差别,只是当向导界面要求我们设置“源地址”参数时,我们必须将“任何IP地址”项目选中,并且将协议参数也设置为“任意”,最后单击“完成”按钮结束阻止列表的创建操作,并为该列表也取一个合适的名称,例如笔者在这里将该列表名称取为“服务所有网段”。
在结束访问过滤列表的创建任务后,我们现在还需要为过滤列表建立筛选器操作。由于在缺省状态下,Windows系统已经自动创建了“允许”筛选器操作,我们下面只要创建一个“阻止”筛选器操作就可以了;在创建“阻止”筛选器操作时,我们可以在“管理IP筛选器表和筛选器操作”对话框中单击“管理筛选器操作”标签,并在对应标签设置页面中单击“添加”按钮,之后按照向导提示依次设置好筛选器操作名称、操作行为等,在这里笔者将筛选器操作名称设置为“阻止”,将操作行为选择为“阻止”(如图4所示),这样就能完成“阻止”筛选器操作的创建任务了。
Web服务器限制访问目标
假设单位局域网中有一台Web服务器,该服务器在默认状态下使用80端口与外部网络进行通信;为安全起见,我们希望Web服务器能够使用1800端口与外部网络进行通信;为了防止Web服务器中的重要隐私信息对外泄露,我们希望Web服务器只允许来自10.176.x.x网段中的工作站对它进行访问,而不允许其他网段中的工作站对它进行访问。要实现这一限制访问目标,我们只需要在Web服务器所在的主机系统中,对IP安全策略功能进行合适设置就可以了。
建立限制访问过滤列表
由于非法攻击者都知道Web服务器在默认状态下启用了80端口,网络病毒或木马都可能会通过这个80端口对Web服务器实施非法攻击,从而会给Web服务器带来安全威胁,因此我们有必要修改Web服务器使用的外部连接端口号码,以便让非法用户或病毒木马无法知道Web服务器的外部连接端口号码,那样一来Web服务器受到非法攻击的机率就会大大降低了。在修改Web服务器的通信端口时,我们可以依次单击Web服务器所在主机系统桌面中的“开始”/“设置”/“控制面板”命令,在其后出现的窗口中依次双击“管理工具”/“Internet 信息服务”图标,打开IIS控制台窗口;
在该控制台窗口的左侧列表窗格中,找到目标Web服务器主机名称,并用鼠标右键单击该主机名称,从弹出的快捷菜单中执行“属性”命令,打开目标Web服务器站点的属性设置界面,单击该设置界面中的“常规”标签,进入如图1所示的标签设置页面,在该页面的“TCP端口”文本框中直接将“80”端口号码修改成“1800”,并单击“确定”按钮结束IIS服务器的端口属性设置操作。当然,为了让IIS服务器的新端口立即生效,我们应该及时重新启动一下IIS服务器系统。
在Web服务器的新端口生效后,我们再依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“gpedit.msc”命令,单击回车键后,打开系统的组策略编辑窗口;在该编辑窗口的左侧显示区域,将鼠标定位于“计算机配置”分支选项上,然后依次展开该分支选项下面的“Windows设置”/“安全设置”/“IP安全设置,在本地计算机上”项目,在对应“IP安全设置,在本地计算机上”项目的右侧窗口空白位置处单击鼠标右键,从弹出的右键菜单中执行“管理IP筛选器表和筛选器操作”命令,打开一个标题为“管理IP筛选器表和筛选器操作”的对话框,单击该对话框中的“管理IP筛选器列表”标签,并在对应标签设置页面中单击“添加”按钮,在其后出现的界面中为新创建的IP筛选器表取一个合适名称,比方说笔者在这里为新IP筛选器表取的名称为“服务特定网段”,接着再用鼠标单击筛选器表名称旁边的“添加”按钮,此时屏幕上将会自动出现一个IP筛选器向导界面;
当向导界面要求我们指定IP通讯的源地址时,我们可以单击下拉按钮,并从弹出的下拉列表中选择“一个特定的IP子网”(如图2所示),紧接着在图2界面中的IP地址文本框中输入IP地址“10.176.0.0”,并将子网掩码参数设置为“255.255.0.0”;在确认这些参数输入正确后,单击“下一步”按钮,此时IP筛选器向导将会要求我们指定好IP通讯的目的地址,我们只要从这里的下拉列表中选择“我的IP地址”选项,也就是本地的Web服务器IP地址,设置好该项参数后,继续单击“下一步”按钮;
当向导界面要求我们选择IP协议类别时,我们可以从对应界面的下拉列表中选择“TCP”协议,之后单击“下一步”按钮进入如图3所示的向导设置界面;在该设置界面中选择“到此端口”项目,并在之后激活的文本框中输入“1800”,最后单击“完成”按钮,这样就能成功地完成Web服务器限制访问过滤列表了,那样的话来自特定网段10.176.x.x中的工作站就能够访问本地Web服务器中的重要隐私内容了。
不过遗憾的是,Windows系统自带的IP安全策略功能在缺省状态下没有拒绝功能,也就是说除了来自特定网段10.176.x.x中的工作站能够访问本地Web服务器中的重要隐私内容,其他子网中的工作站在默认状态下还是能够访问本地Web服务器中的重要隐私内容,为此我们还需要利用IP安全策略功能创建一个阻止访问Web服务器的列表,以便限制其他子网中的工作站非法访问本地Web服务器中的重要隐私内容。在创建这种阻止访问列表时,基本操作步骤与前面的没有多大差别,只是当向导界面要求我们设置“源地址”参数时,我们必须将“任何IP地址”项目选中,并且将协议参数也设置为“任意”,最后单击“完成”按钮结束阻止列表的创建操作,并为该列表也取一个合适的名称,例如笔者在这里将该列表名称取为“服务所有网段”。
在结束访问过滤列表的创建任务后,我们现在还需要为过滤列表建立筛选器操作。由于在缺省状态下,Windows系统已经自动创建了“允许”筛选器操作,我们下面只要创建一个“阻止”筛选器操作就可以了;在创建“阻止”筛选器操作时,我们可以在“管理IP筛选器表和筛选器操作”对话框中单击“管理筛选器操作”标签,并在对应标签设置页面中单击“添加”按钮,之后按照向导提示依次设置好筛选器操作名称、操作行为等,在这里笔者将筛选器操作名称设置为“阻止”,将操作行为选择为“阻止”(如图4所示),这样就能完成“阻止”筛选器操作的创建任务了。
0
相关文章
关注我们
