巧用 IPSec 让 Web 服务器 服务 特定网段不少单位目前都架设了局域网网络，并且建立了基于内网的 Web 服务器。正常来说，规模不大的单位往往不会耗费大量的资金去选购专业的安全防护软件或安全保护设备， 在这种情形下，我们究竟该如何保护内网 Web 服务器的安全，让 Web 服务器只能为特定网段中的工作站提供访问 “ 服务 ” ， 而不允许其他非法用户随意访问呢？其实， 我们可以巧妙地利用Windows 系统自带的 IP 安全策略功能，来保护 Web 服务器安全地运行，以便实现各种安全防护目的。现在，我们只要对 Windows 系统的 IP 安全策略功能进行合适设置，就能让局域网中特定网段里的工作站来访问 Web 服务器，而其他网段中的工作站都将无权访问 Web 服务器。Web 服务器限制访问目标假设单位局域网中有一台 Web 服务器，该服务器在默认状态下使用 80 端口与外部网络进行通信；为安全起见，我们希望 Web 服务器能够使用 1800 端口与外部网络进行通信；为了防止 Web 服务器中的重要隐私信息对外泄露， 我们希望 Web 服务器只允许来自 10.176.x.x网段中的工作站对它进行访问， 而不允许其他网段中的工作站对它进行访问。 要实现这一限制访问目标，我们只需要在 Web 服务器所在的主机系统中，对 IP 安全策略功能进行合适设置就可以了。建立限制访问过滤列表由于非法攻击者都知道 Web 服务器在默认状态下启用了 80 端口，网络病毒或木马都可能会通过这个 80 端口对 Web 服务器实施非法攻击，从而会给 Web 服务器带来安全威胁，因此我们有必要修改 Web 服务器使用的外部连接端口号码，以便让非法用户或病毒木马无法知道 Web 服务器的外部连接端口号码，那样一来 Web 服务器受到非法攻击的机率就会大大降低了。在修改 Web 服务器的通信端口时，我们可以依次单击 Web 服务器所在主机系统桌面中的 “ 开始 ” / “设置 ” / “控制面板 ” 命令， 在其后出现的窗口中依次双击 “ 管理工具 ” / “ Internet 信息服务 ” 图标，打开 IIS 控制台窗口；在该控制台窗口的左侧列表窗格中， 找到目标 Web 服务器主机名称， 并用鼠标右键单击该主机名称，从弹出的快捷菜单中执行 “ 属性 ” 命令，打开目标 Web 服务器站点的属性设置界面， 单击该设置界面中的 “ 常规 ” 标签， 进入如图 1 所示的标签设置页面， 在该页面的 “ TCP端口 ” 文本框中直接将 “ 80”端口号码修改成 “ 1800”， 并单击 “ 确定 ” 按钮结束 IIS 服务器的端口属性设置操作。 当然， 为了让 IIS 服务器的新端口立即生效， 我们应该及时重新启动一下 IIS服务器系统。在 Web 服务器的新端口生效后，我们再依次单击 “ 开始 ” / “运行 ” 命令，在弹出的系统运行对话框中输入 “ gpedit.msc ”命令，单击回车键后，打开系统的组策略编辑窗口；在该编辑窗口的左侧显示区域， 将鼠标定位于 “ 计算机配置 ” 分支选项上， 然后依次展开该分支选项下面的“ Windows设置 ” / “安全设置 ” / “ IP安全设置， 在本地计算机上 ” 项目， 在对应 “ IP安全设置， 在本地计算机上 ” 项目的右侧窗口空白位置处单击鼠标右键， 从弹出的右键菜单中执行 “ 管理 IP筛选器表和筛选器操作 ” 命令，打开一个标题为 “ 管理 IP 筛选器表和筛选器操作 ” 的对话框，单击该对话框中的 “ 管理 IP 筛选器列表 ” 标签，并在对应标签设置页面中单击 “ 添加 ” 按钮，在其后出现的界面中为新创建的 IP 筛选器表取一个合适名称， 比方说笔者在这里为新 IP 筛选器表取的名称为 “ 服务特定网段 ” ，接着再用鼠标单击筛选器表名称旁边的 “ 添加 ” 按钮，此时屏幕上将会自动出现一个 IP 筛选器向导界面；当向导界面要求我们指定 IP 通讯的源地址时， 我们可以单击下拉按钮， 并从弹出的下拉列表中选择 “ 一个特定的 IP 子网 ” （如图 2 所示） ，紧接着在图 2 界面中的 IP 地址文本框中输入 IP 地址 “ 10.176.0.0 ”，并将子网掩码参数设置为 “ 255.255.0.0 ”；在确认这些参数输入正确后，单击 “ 下一步 ” 按钮，此时 IP 筛选器向导将会要求我们指定好 IP 通讯的目的地址，我们只要从这里的下拉列表中选择 “ 我的 IP 地址 ” 选项， 也就是本地的 Web 服务器 IP 地址， 设置好该项参数后，继续单击 “ 下一步 ” 按钮；当向导界面要求我们选择 IP 协议类别时，我们可以从对应界面的下拉列表中选择 “ TCP” 协议，之后单击 “ 下一步 ” 按钮进入如图 3 所示的向导设置界面；在该设置界面中选择 “ 到此端口 ” 项目，并在之后激活的文本框中输入 “ 1800”，最后单击 “ 完成 ” 按钮，这样就能成功地完成 Web 服务器限制访问过滤列表了，那样的话来自特定网段 10.176.x.x 中的工作站就能够访问本地 Web 服务器中的重要隐私内容了。不过遗憾的是， Windows 系统自带的 IP 安全策略功能在缺省状态下没有拒绝功能， 也就是说除了来自特定网段 10.176.x.x 中的工作站能够访问本地 Web 服务器中的重要隐私内容，其他子网中的工作站在默认状态下还是能够访问本地 Web 服务器中的重要隐私内容，为此我们还需要利用 IP 安全策略功能创建一个阻止访问 Web 服务器的列表， 以便限制其他子网中的工作站非法访问本地 Web 服务器中的重要隐私内容。在创建这种阻止访问列表时，基本操作步骤与前面的没有多大差别， 只是当向导界面要求我们设置 “ 源地址 ” 参数时， 我们必须将 “ 任何 IP 地址 ” 项目选中， 并且将协议参数也设置为 “ 任意 ” ， 最后单击 “ 完成 ” 按钮结束阻止列表的创建操作， 并为该列表也取一个合适的名称， 例如笔者在这里将该列表名称取为 “ 服务所有网段 ” 。在结束访问过滤列表的创建任务后，我们现在还需要为过滤列表建立筛选器操作。由于在缺省状态下， Windows 系统已经自动创建了 “ 允许 ” 筛选器操作， 我们下面只要创建一个 “ 阻止 ” 筛选器操作就可以了；在创建 “ 阻止 ” 筛选器操作时，我们可以在 “ 管理 IP 筛选器表和筛选器操作 ” 对话框中单击 “ 管理筛选器操作 ” 标签， 并在对应标签设置页面中单击 “ 添加 ” 按钮，之后按照向导提示依次设置好筛选器操作名称、 操作行为等， 在这里笔者将筛选器操作名称设置为 “ 阻止 ” ，将操作行为选择为 “ 阻止 ” （如图 4 所示） ，这样就能完成 “ 阻止 ” 筛选器操作的创建任务了。启用 IPSec 实现限制访问建立好限制访问过滤列表后，我们现在就能启用 IP 安全保护功能，来让 Web 服务器只允许来自 10.176.x.x 网段中的工作站对它进行访问， 而不允许其他网段中的工作站对它进行访问。在启用 IP 安全保护功能时，我们可以依次单击 “ 开始 ” / “运行 ” 命令，在弹出的系统运行对话框中输入 “ gpedit.msc ”命令，单击回车键后，打开系统的组策略编辑窗口；在该编辑窗口的左侧显示区域， 将鼠标定位于 “ 计算机配置 ” 分支选项上， 然后依次展开该分支选项下面的 “ Windows设置 ” / “安全设置 ” / “ IP安全设置， 在本地计算机上 ” 项目， 在对应 “ IP安全设置，在本地计算机上 ” 项目的右侧窗口空白位置处单击鼠标右键， 从弹出的右键菜单中执行 “ 创建IP 安全策略 ” 命令， 随后屏幕上将出现一个向导提示界面， 按照向导提示我们连续单击 “ 下一步 ” 按钮，直到出现一个属性设置窗口，单击该属性设置窗口中的 “ 添加 ” 按钮，当屏幕上出现如图 5 所示的向导设置界面时，用鼠标选中 “ 此规则不指定隧道 ” 选项，之后依次将 “ 所有网络类型 ” 、 “ Kerberos V5” 等选项选中，紧接着我们将会看到之前创建的 “ 服务特定网段 ” 以及 “ 服务所有网段 ” 这两个过滤列表，此时选中 “ 服务特定网段 ” 列表，再单击 “ 下一步 ” 按钮，之后我们又会看到筛选器，选中 “ 允许 ” 项目，再单击 “ 完成 ” 按钮结束设置操作。再返回到先前打开的属性设置窗口，继续单击该设置窗口中的 “ 添加 ” 按钮，并按照相同的操作依次选中 “ 此规则不指定隧道 ” 、 “ 所有网络类型 ” 、 “ Kerberos V5” 等选项，再选中 “ 服务所有网段 ” 列表选中，并且将对应的筛选器操作选择为 “ 阻止 ” 。最后，在对应 “ IP安全设置，在本地计算机上 ” 项目的右侧窗口中我们看到了一个新的 IP安全策略， 用鼠标右键单击该策略选项， 并执行快捷菜单中的 “ 指派 ” 命令， 那样一来新的 IP访问安全策略就能生效了，该策略将会保证 Web 服务器只允许来自 10.176.x.x 网段中的工作站对它进行访问，而不允许其他网段中的工作站对它进行访问。