巧用IPSec加固Web服務器

　　在局域網中部署Web服務器進行信息的發布，建立統一的辦公和財務系統，這是很多企業采用的方案。但通常情況下單位不見得會購買大量安全設備或軟件，那么如何加強企業內網的Web服務器的安全呢?其實Windows提供了一個足以匹敵專業級安全設備的功能——IPSec，只要用戶進行簡單的設置就可以加固Web服務器的安全，防御來自內網的各類攻擊。

　　筆者這里假設有一臺IIS的Web服務器并且此服務器提供的外部訪問端口是8800，并且只可以讓IP地址是192.168.X.X網段的計算機對它進行訪問，下面來看看如何通過IPSec來加固Web服務器。

　　一、建立過濾列表

　　完成Web服務器的建立后，在站點屬性窗口中設置訪問端口是8800，然后重新啟動IIS使設置生效。在運行窗口中輸入“gpedit.msc”啟動組策略管理器，展開“計算機配置→Windows 設置→安全設置→IP安全設置，在本地計算機上”，右擊右邊的空白處，在出現的菜單上點擊“管理IP篩選器表和篩選器操作”菜單。(圖1)

　　在出現的“管理IP篩選器表和篩選器操作”窗口中選擇“管理IP篩選器表”標簽中的添加按鈕，隨后出現添加窗口，在添加窗口中為這個篩選器表起個名字，比如“Web進入”，然后再點擊“添加”窗口，此時會看到一個向導。(圖2)

　　在向導中的“源地址”中選擇“一個特定的子網”，然后在下面的IP信息中輸入IP地址為192.168.0.1，子網掩碼為255.255.0.0，接著點“下一步”，在“目標地址”中選擇“我的IP地址”也就是服務器的IP地址。 (圖3)

　　接著選擇“TCP”協議，選擇“到此端口”并輸入8800，這樣就完成了列表的建立，上面的步驟就表示凡是192.168網段的計算機都可以訪問此服務器。(圖4)

　　但是IPSec有個弱點，就是它沒有默認的拒絕功能，也就是除了上面的列表外，我們還要建立一個阻止列表。操作步驟和前面類似，只是在“源地址”中要選擇“任何IP地址”，在協議中選擇“任意”，最后完成此列表建立，并為此列表起一個名字比如“全部訪問”。 (圖5)

　　二、建立篩選器

　　完成了列表建立后，就該建立篩選器了，由于篩選器中有了一個“許可”篩選器，所以只要再建立一個“阻止”篩選器就可以了。

　　在“管理篩選器操作”標簽中點“添加”按鈕，在出現的向導頁中輸入篩選器名字，然后選擇“阻止”即可完成篩選器的建立。(圖6)

　　三、啟動IPSec

　　現在就可以建立并啟動IPSec的安全保護功能，其方法是在完成上面步驟后，在圖中點“創建IP安全策略”菜單，隨后輸入一個名字，連續點擊幾個“下一步”，將打開一個屬性窗口。

　　在屬性窗口中點“添加”按鈕，依次選擇“此規則不指定隧道”、“所有網絡類型”、“Kerberos V5”，隨后可以看見前面建立的列表，此時選擇“Web進入”后點“下一步”接著會看到篩選器，選擇“允許”最后完成設置。 (圖7)

　　再次在屬性窗口中點“添加”按鈕，重復上面的操作，只是在列表選擇時選擇“全部訪問”，在選擇篩選器的時候選擇“阻止”。(圖8)

　　完成上面的操作后，再次查看就會發現在原來的窗口右邊多了一個策略，此時右擊該策略，并點“指派”菜單 ，這樣新的策略就被啟動。 (圖9)

　　總結：加固服務器安全，不見得要部署大型的安全軟件，充分利用服務器系統集成的一些工具往往可以起到事半功倍的效果。這些工具不需要企業投入額外的成本，而且與服務器系統無縫結合，安全性、穩定性更有保障。