目前很多单位都在局域网内部架设了一台WEB服务器，以便用来发布一些业务信息或财务信息，为了不让非法用户随意访问WEB服务器，规模较大的单位往往会不惜重金去购买专门的安全软件或保护设备，来“护驾”局域网服务器的安全。但对规模较小的单位来说，他们完全不需要单独购买安全设备或安全工具，只需要借助Windows服务器系统自带的IPSEC功能，来创建一个只对特定工作站进行开放的安全策略，从而达到保护WEB服务器被他人随意访问的安全目的了。

    为方便叙述，现在本文假设单位局域网WEB服务器使用1588端口向外提供Web服务，并要求只能让10.176.6.0网段的工作站用户通过TCP/IP协议方式访问该服务器，而禁止其他网段的工作站用户通过任何协议方式访问该服务器，以确保让WEB服务器真正实现“定向”开放目的。

创建WEB服务器允许访问列表

    为了能让来自10.176.6.0网段的工作站用户通过TCP/IP协议方式访问局域网WEB服务器，我们需要先在服务器系统中创建一个WEB服务器访问过滤列表。在创建WEB服务器访问过滤列表时，我们可以按照如下步骤进行操作：

    首先依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“Internet信息服务管理器”命令，打开本地服务器系统中的IIS控制台窗口，然后用鼠标右键单击局域网WEB服务器选项，从弹出的快捷菜单中执行“属性”命令，打开该服务器的站点属性设置窗口，并在该设置窗口中将WEB服务器的通信端口修改为“1588”，然后重新将IIS服务器启动一下，就能使WEB服务器只通过“1588”端口向外提供服务了。

    接着返回到服务器系统桌面中，并用鼠标依次单击“开始”/“运行”命令，在弹出的系统运行对话框中输入“gpedit.msc”字符串命令，单击回车键后，打开本地系统的组策略编辑窗口；在该编辑窗口的左侧显示区域中，用鼠标双击其中的“计算机配置”项目，并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置，在本地计算机上”选项。

    在对应“IP安全设置，在本地计算机上”选项的右侧显示区域中，用鼠标右键单击空白区域，从弹出的如图1所示快捷菜单中执行“管理IP筛选器表和筛选器操作”命令， 并在其后界面中选中“管理IP筛选器列表”标签，再在对应标签页面中单击“添加”按钮，弹出一个IP筛选器列表创建向导对话框。在这里，我们可以为即将创建的新IP筛选器列表取一个合理名称，例如“WEB定向开放”（如图2所示）， 再单击该窗口中的“添加”按钮。

 
图1 
 
图2

    当向导窗口要求我们输入“源地址”时，我们必须选中“一个特定的子网”，并在随后被激活的IP信息框中输入目标网段的起始IP地址，这里应该输入的是“10.176.6.1”，同时将对应网段的子网掩码设置为“10.176.6.0”，再单击“下一步”按钮；当向导窗口要求我们输入“目标地址”时，我们必须从中选择“我的IP地址”选项，同时将WEB服务器的IP地址正确地填写在这里。

    接下来，向导窗口会要求我们选择具体的通信协议，我们必须将“TCP/IP”协议选中，再单击“下一步”按钮，打开如图3所示的参数设置界面； 选中该界面中的“到此端口”项目，并在对应该项目的文本框中输入WEB服务器的通信端口，这里输入的端口号码应该为“1588”。结束上面的各项参数设置操作后，最后单击“完成”按钮，如此一来访问WEB服务器的过滤列表就创建成功了，日后来自10.176.6.0网段的任何一位工作站用户都有权利访问局域网服务器了。

 
图3

创建WEB服务器阻止访问列表

    考虑到Windows服务器系统自带的IPSEC功能在缺省状态下不具有拒绝访问功能，为了让其他网段的工作站用户不能通过任何协议方式访问局域网WEB服务器，我们还需要创建一个WEB服务器阻止访问列表。在该创建这种类型的列表时，我们首先需要打开本地服务器系统的组策略编辑窗口，依次选择该窗口左侧显示区域中的“计算机配置”、“Windows设置”、“安全设置”、“IP安全设置，在本地计算机上”选项，在对应“IP安全设置，在本地计算机上”选项的右侧显示区域中，用鼠标右键单击空白区域，再执行快捷菜单中的“管理IP筛选器表和筛选器操作”命令，然后选中“管理IP筛选器列表”标签。

    在对应标签页面中单击“添加”按钮，弹出一个IP筛选器列表创建向导对话框。在这里我们可以创建一个名为“WEB全部开放”的IP筛选器列表，并单击该窗口中的“添加”按钮；当向导窗口要求我们输入“源地址”时，我们必须选中“任何IP地址”（如图4所示）， 单击“下一步”按钮后，向导窗口要求我们输入“目标地址”，此时我们必须从中选择“我的IP地址”选项，同时将WEB服务器的IP地址正确地填写在这里。

 
图4

    紧接着向导窗口会要求我们选择具体的通信协议，在这里我们将协议参数设置为“任意”，最后单击“完成”按钮，如此一来WEB服务器就能允许局域网中所有工作站通过任何协议来访问了。

创建阻止筛选器

    为了让其他网段的工作站用户不能通过任何协议方式访问局域网WEB服务器，我们还需要对“WEB全部开放”访问列表进行筛选，并将其筛选操作设置为“阻止”，那样一来就能创建好WEB服务器阻止访问列表了。在创建“阻止”筛选器操作时，我们可以按照如下步骤进行操作：

    首先按前面步骤打开管理IP筛选器表和筛选器操作对话框，单击其中的“管理筛选器操作”标签，并在对应标签页面中单击“添加”按钮，进入到IP筛选器操作管理向导界面，单击“下一步”按钮后，将该筛选器操作名称设置为“WEB阻止访问”，之后我们将看到如图5所示的设置界面， 在这里我们必须将操作行为设置为“阻止”，最后单击“完成”按钮就可以了。

 
图5

启用IP安全保护策略

    做好前面的各项准备工作后，我们现在就能开始创建并启用IP安全保护策略，来保护局域网WEB服务器只对特定网段的工作站进行定向开放了，下面就是具体的操作步骤：

    依次单击“开始”/“运行”命令，在弹出的系统运行对话框中输入“gpedit.msc”字符串命令，单击回车键后，打开本地系统的组策略编辑窗口；在该编辑窗口的左侧显示区域中，用鼠标双击其中的“计算机配置”项目，并在其后弹出的组策略分支下面依次选中“Windows设置”、“安全设置”、“IP安全设置，在本地计算机上”选项。

    在对应“IP安全设置，在本地计算机上”选项的右侧显示区域中，用鼠标右键单击空白区域，并执行快捷菜单中的“创建IP安全策略”命令，并在其后界面中根据提示逐步单击“下一步”按钮，打开目标安全策略的属性设置窗口，如图6所示。

 
图6

    接着单击该窗口中的“添加”按钮，在其后弹出的向导窗口中依次选中“此规则不指定隧道”选项、“所有网络连接”选项、“Kerberos V5”选项，接下来在IP筛选器列表中我们就会看到前面已经创建好的“WEB定向开放”与“WEB全部开放”项目，选中“WEB定向开放”项目，并将该筛选项目设置为“允许”；之后再选中“WEB全部开放”项目，并将该筛选项目设置为“阻止”，最后单击“确定”按钮，完成IP安全保护策略的创建工作。

总结：

    经过上面的几步，我们基本完成了web服务器的保护工作，不过最后还要经过一点小小的“修饰”，我们重新返回到系统组策略编辑窗口，在“计算机配置”/“Windows设置”/“安全设置”/“IP安全设置，在本地计算机上”分支项目的右侧显示区域，我们会看到前面已经创建成功的IP安全保护策略，用鼠标右键单击该策略选项，并执行快捷菜单中的“指派”命令，这么一来局域网WEB服务器就能受到我们前面创建好的IP安全策略保护了，在该策略保护下局域网WEB服务器只对10.176.6.0网段的工作站用户开放，其他网段的任何用户通过任何协议都无法访问到WEB服务器。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: