IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

巧用IPSec加固Web服务器

2008年03月07日
/

  巧用IPSec加固Web服务器

  在局域网中部署Web服务器进行信息的发布,建立统一的办公和财务系统,这是很多企业采用的方案。但通常情况下单位不见得会购买大量安全设备或软件,那么如何加强企业内网的Web服务器的安全呢?其实Windows提供了一个足以匹敌专业级安全设备的功能——IPSec,只要用户进行简单的设置就可以加固Web服务器的安全,防御来自内网的各类攻击。

  笔者这里假设有一台IIS的Web服务器并且此服务器提供的外部访问端口是8800,并且只可以让IP地址是192.168.X.X网段的计算机对它进行访问,下面来看看如何通过IPSec来加固Web服务器。

  一、建立过滤列表

  完成Web服务器的建立后,在站点属性窗口中设置访问端口是8800,然后重新启动IIS使设置生效。在运行窗口中输入“gpedit.msc”启动组策略管理器,展开“计算机配置→Windows 设置→安全设置→IP安全设置,在本地计算机上”,右击右边的空白处,在出现的菜单上点击“管理IP筛选器表和筛选器操作”菜单。(图1)

  Ipsec

  在出现的“管理IP筛选器表和筛选器操作”窗口中选择“管理IP筛选器表”标签中的添加按钮,随后出现添加窗口,在添加窗口中为这个筛选器表起个名字,比如“Web进入”,然后再点击“添加”窗口,此时会看到一个向导。(图2)

  Ipsec

  在向导中的“源地址”中选择“一个特定的子网”,然后在下面的IP信息中输入IP地址为192.168.0.1,子网掩码为255.255.0.0,接着点“下一步”,在“目标地址”中选择“我的IP地址”也就是服务器的IP地址。 (图3)

  Ipsec

  接着选择“TCP”协议,选择“到此端口”并输入8800,这样就完成了列表的建立,上面的步骤就表示凡是192.168网段的计算机都可以访问此服务器。(图4)

  Ipsec

  但是IPSec有个弱点,就是它没有默认的拒绝功能,也就是除了上面的列表外,我们还要建立一个阻止列表。操作步骤和前面类似,只是在“源地址”中要选择“任何IP地址”,在协议中选择“任意”,最后完成此列表建立,并为此列表起一个名字比如“全部访问”。 (图5)

  Ipsec

  二、建立筛选器

  完成了列表建立后,就该建立筛选器了,由于筛选器中有了一个“许可”筛选器,所以只要再建立一个“阻止”筛选器就可以了。

  在“管理筛选器操作”标签中点“添加”按钮,在出现的向导页中输入筛选器名字,然后选择“阻止”即可完成筛选器的建立。(图6)

  Ipsec

  三、启动IPSec

  现在就可以建立并启动IPSec的安全保护功能,其方法是在完成上面步骤后,在图中点“创建IP安全策略”菜单,随后输入一个名字,连续点击几个“下一步”,将打开一个属性窗口。

  在属性窗口中点“添加”按钮,依次选择“此规则不指定隧道”、“所有网络类型”、“Kerberos V5”,随后可以看见前面建立的列表,此时选择“Web进入”后点“下一步”接着会看到筛选器,选择“允许”最后完成设置。 (图7)

  Ipsec

  再次在属性窗口中点“添加”按钮,重复上面的操作,只是在列表选择时选择“全部访问”,在选择筛选器的时候选择“阻止”。(图8)

  Ipsec

  完成上面的操作后,再次查看就会发现在原来的窗口右边多了一个策略,此时右击该策略,并点“指派”菜单 ,这样新的策略就被启动。 (图9)

  Ipsec

  总结:加固服务器安全,不见得要部署大型的安全软件,充分利用服务器系统集成的一些工具往往可以起到事半功倍的效果。这些工具不需要企业投入额外的成本,而且与服务器系统无缝结合,安全性、稳定性更有保障。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点