91久久久久国产一区二区,在线观看成人免费视频,天天综合日日夜夜

　　巧用IPSec加固Web服務(wù)器

　　在局域網(wǎng)中部署Web服務(wù)器進(jìn)行信息的發(fā)布，建立統(tǒng)一的辦公和財(cái)務(wù)系統(tǒng)，這是很多企業(yè)采用的方案。但通常情況下單位不見得會(huì)購(gòu)買大量安全設(shè)備或軟件，那么如何加強(qiáng)企業(yè)內(nèi)網(wǎng)的Web服務(wù)器的安全呢?其實(shí)Windows提供了一個(gè)足以匹敵專業(yè)級(jí)安全設(shè)備的功能——IPSec，只要用戶進(jìn)行簡(jiǎn)單的設(shè)置就可以加固Web服務(wù)器的安全，防御來自內(nèi)網(wǎng)的各類攻擊。

　　筆者這里假設(shè)有一臺(tái)IIS的Web服務(wù)器并且此服務(wù)器提供的外部訪問端口是8800，并且只可以讓IP地址是192.168.X.X網(wǎng)段的計(jì)算機(jī)對(duì)它進(jìn)行訪問，下面來看看如何通過IPSec來加固Web服務(wù)器。

　　一、建立過濾列表

　　完成Web服務(wù)器的建立后，在站點(diǎn)屬性窗口中設(shè)置訪問端口是8800，然后重新啟動(dòng)IIS使設(shè)置生效。在運(yùn)行窗口中輸入“gpedit.msc”啟動(dòng)組策略管理器，展開“計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→IP安全設(shè)置，在本地計(jì)算機(jī)上”，右擊右邊的空白處，在出現(xiàn)的菜單上點(diǎn)擊“管理IP篩選器表和篩選器操作”菜單。(圖1)

　　 Ipsec

　　在出現(xiàn)的“管理IP篩選器表和篩選器操作”窗口中選擇“管理IP篩選器表”標(biāo)簽中的添加按鈕，隨后出現(xiàn)添加窗口，在添加窗口中為這個(gè)篩選器表起個(gè)名字，比如“Web進(jìn)入”，然后再點(diǎn)擊“添加”窗口，此時(shí)會(huì)看到一個(gè)向?qū)А?圖2)

　　 Ipsec

　　在向?qū)е械?ldquo;源地址”中選擇“一個(gè)特定的子網(wǎng)”，然后在下面的IP信息中輸入IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.0.0，接著點(diǎn)“下一步”，在“目標(biāo)地址”中選擇“我的IP地址”也就是服務(wù)器的IP地址。 (圖3)

　　 Ipsec

　　接著選擇“TCP”協(xié)議，選擇“到此端口”并輸入8800，這樣就完成了列表的建立，上面的步驟就表示凡是192.168網(wǎng)段的計(jì)算機(jī)都可以訪問此服務(wù)器。(圖4)

　　 Ipsec

　　但是IPSec有個(gè)弱點(diǎn)，就是它沒有默認(rèn)的拒絕功能，也就是除了上面的列表外，我們還要建立一個(gè)阻止列表。操作步驟和前面類似，只是在“源地址”中要選擇“任何IP地址”，在協(xié)議中選擇“任意”，最后完成此列表建立，并為此列表起一個(gè)名字比如“全部訪問”。 (圖5)

　　 Ipsec

　　二、建立篩選器

　　完成了列表建立后，就該建立篩選器了，由于篩選器中有了一個(gè)“許可”篩選器，所以只要再建立一個(gè)“阻止”篩選器就可以了。

　　在“管理篩選器操作”標(biāo)簽中點(diǎn)“添加”按鈕，在出現(xiàn)的向?qū)ы撝休斎牒Y選器名字，然后選擇“阻止”即可完成篩選器的建立。(圖6)

　　 Ipsec

　　三、啟動(dòng)IPSec

　　現(xiàn)在就可以建立并啟動(dòng)IPSec的安全保護(hù)功能，其方法是在完成上面步驟后，在圖中點(diǎn)“創(chuàng)建IP安全策略”菜單，隨后輸入一個(gè)名字，連續(xù)點(diǎn)擊幾個(gè)“下一步”，將打開一個(gè)屬性窗口。

　　在屬性窗口中點(diǎn)“添加”按鈕，依次選擇“此規(guī)則不指定隧道”、“所有網(wǎng)絡(luò)類型”、“Kerberos V5”，隨后可以看見前面建立的列表，此時(shí)選擇“Web進(jìn)入”后點(diǎn)“下一步”接著會(huì)看到篩選器，選擇“允許”最后完成設(shè)置。 (圖7)

　　 Ipsec