利用IPSec阻止访问Web服务器
网络与通信
2002年《电脑报》第9期刊登了一篇关于IPSec安全策略的文章,使我们清楚地了解到IPSec的工作原理和它的应用。本人读了这篇文章后,了解到IPSec的工作原理,现在结合实际的操作,介绍我校如何利用IPSec安全策略来阻止某一子网内的计算机访问Web服务器。
我校组建了校园局域网后,在局域网内组建了Web服务器,这台Web服务器通过两块网卡分别和机房的学生机、教师机组成两个子网。我们做这个网站主要是为了各科的教师能通过Web服务器来查询资料,但这些资料并不是对局域网内的学生机进行开放的。本来只要把学生机和Web服务器断开连接就行的,但是我们这台服务器对学生也有重要作用,不能和学生机断开。那么怎样才能通过IPSec设置,阻止学生机这一子网内的计算机访问Web服务器的网站内容又不影响到平时的教学工作呢?其实只要我们阻止学生机那个子网内的计算机访问服务器的80端口就行了,就让我们来完成这一任务吧!
首先在安装了Windows 2000 Advaceed Server的服务器上选择“开始→程序→管理工具→本地安全策略”,这时会弹出“本地安全设置”窗口((图1))。
一、管理IP筛选器和筛选器操作
1.右击“本地安全设置”窗口中的“IP安全策略,在本地机器”,在弹出的菜单中选择“管理IP筛选器表和筛选器操作”。此时会启动“管理IP筛选器表和筛选器操作”对话框((图2))。
2.在“管理IP筛选器表”标签中,按“添加”按钮。在弹出的“IP筛选器列表”对话框内,在“名称”下输入“端口80”,然后单击右侧的“添加...”按钮启动IP筛选器向导。按“下一步”按钮,在“IP通信源”页面的源地址中选“一个特定的子网”,然后在“IP地址”栏处填写192.168.10.0,在子网掩码中输入255.255.255.128((图3))。
3.在“IP通信目标”页面中,目标地址内选“我的IP地址”。
4.在“IP协议类型”页面中选择“TCP”。
5.在“IP协议端口”页面,选择“到此端口”,并设置为“80”。
6.完成后,关闭“IP筛选器列表”对话框,返回到“管理IP筛选器表和筛选器操作”窗口,然后选择“管理筛选器操作”标签。
7.在“管理筛选器操作”标签下,单击“添加”按钮,启动“筛选器操作向导”,按“下一步”。
8.在“筛选器操作名称”页面中,在名称处填上“拒绝”。
9.在“筛选器操作常规选项”页面处,把行为设置为“阻止”((图4))。按“下一步”完成操作,关闭“管理IP筛选器表和筛选器操作”对话框。
二、创建IP安全策略
1.返回到“本地安全设置”窗口,右击“IP安全策略,在本地机器”,在弹出的菜单中选择“创建IP安全策略”,启动IP安全策略向导,按“下一步”按钮。
2.在“IP安全策略名称”页面处,填写IP安全策略名称为“拒绝端口80的访问”。
3.在“安全通信要求”页面处,不选择“激活默认响应规则”。
4.在“完成”页面中选择“编辑属性”,按“完成”按钮后就会弹出“拒绝端口80的访问“对话框,要对它进行设置((图5))。
5.单击此对话框下面的“添加...”按钮,启动安全规则向导。
6.在“隧道终结点”页面上,选择默认的“此规则不指定隧道”。
7.在“网络类型”页面,选择“局域网(LAN)”。
8.在“身份验证方法”页面,我们选择默认的“Windows 2000默认值(KerberosV5 协议)”。
9.在“IP筛选器列表”页面上,选择刚才建立的“端口80”筛选器((图6))。
10.在“筛选器操作”页面,选择刚才建立的“拒绝”操作((图7))。
在完成页面后不选择“编辑属性”,按“确定”按钮,关闭“拒绝端口80的访问”对话框。
完成以上操作,任务基本完成了,但我们还需要对IPSec安全策略进行指派,因为缺省情况下,任何IPSec安全策略都未被指派。右击刚才建立的“拒绝端口80的访问”安全策略,在弹出的对话框中选择“指派”((图8))。
以上是本人在工作学习过程中的一点体会,如果什么不正确之处,还请各位高手指点一二,本人的E-mail地址是herowdf@163.com。