梁民 王北

摘 要：為加強(qiáng)教學(xué)服務(wù)器的安全級別，除采用常規(guī)安全加固手段之外，采用了IP安全策略，對服務(wù)器進(jìn)行了只允許特定IP訪問的配置。文章簡單介紹了windows的IP安全策略，給出了詳細(xì)的配置步驟。

關(guān)鍵詞：IP安全策略安全加固IP篩選器安全策略

引言

在多媒體教學(xué)服務(wù)工作中，人民大學(xué)對各教室的電腦采用集群管理模式， 由服務(wù)器來完成軟件的安裝，系統(tǒng)的更新以及對學(xué)生機(jī)的集中管理等工作。教學(xué)服務(wù)器只和各教室的電腦進(jìn)行通訊，針對以上情況下，我們對服務(wù)器的安全加固，除了做好常規(guī)的加固，通過了對indows系統(tǒng)自帶的IP安全策略的配置，只允許特定IP訪問，提高了服務(wù)器的安全性。

一、IP安全策略介紹

IP安全策略是windows系統(tǒng)提供的一種安全技術(shù)，它是一種基于點(diǎn)到點(diǎn)的安全模型，可實(shí)現(xiàn)更高層次的局域網(wǎng)數(shù)據(jù)的安全性。IP安全策略將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較，用以判斷通訊是否與預(yù)期相吻合，然后決定允許還是拒絕通訊的傳輸。IP安全策略彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的"隨意信任"重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全。當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)，但功能完善的個(gè)人防火墻。[1]

IP安全策略的基本功能是訪問控制以及有選擇地實(shí)施安全，即只有選中的 IP報(bào)文才被允許通過或被指定的安全功能所保護(hù)。IP報(bào)文的選擇和安全動(dòng)作的規(guī)定都由存儲(chǔ)在SPD數(shù)據(jù)庫里的IP策略定義。一條IPsec策略由條件（condition）和動(dòng)作（action）兩 部 分 組 成 ，表 示 形 式 為（condition -> action），其 語 義是：如果條件滿足的話，則執(zhí)行相應(yīng)的動(dòng)作。策略里的條件映射到報(bào)文選擇符的取值。選擇符可以是 IP 報(bào)文頭部、TCP 報(bào)文頭部或者隧道封裝頭部里的任何協(xié)議域；動(dòng)作通常有三種：deny，allow和IPsec_action，分別表示對選中的報(bào)文進(jìn)行丟棄、允許通過和施加IPsec 所指定的保護(hù)。IPsec_action 規(guī)定了特定的安全功能，如加密或認(rèn)證，它的屬性包括安全協(xié)議、算法、模式（傳輸或隧道）、安全實(shí)施起始點(diǎn)和終止點(diǎn)等。一個(gè)最簡單的策略示例為（src=A，dat=B-〉allow），它的含義是：允許源地址為A且目的地址為 B 的所有IP報(bào)文通過。[2]

二、IP安全策略配置方法

我們以某教學(xué)樓服務(wù)器配置為例，我們的需求是只允許此教學(xué)樓教室里的電腦（IP地址段為 10.36.1.0/24）能訪問此教學(xué)服務(wù)器，其他地址均不能訪問此服務(wù)器。在配置上，我們應(yīng)該首先設(shè)置為禁止所有IP地址訪問此服務(wù)器，然后再配置地址為10.36.1.0/24的IP能訪問此服務(wù)器。具體配置步驟為先配置安全策略，再配置IP篩選器列表，最后為這些安全策略指定 IP篩選器，指定篩選器操作即可。詳細(xì)配置步驟如下：[3]

1.阻止所有：

打開本地安全策略：點(diǎn)擊電腦左下角的“開始”-運(yùn)行-輸入secpol.msc或者開始-程序-管理工具-本地安全策略彈出來的窗口中，右擊IP安全策略，在本地計(jì)算機(jī)。

（1）創(chuàng)建IP安全策略

（2）進(jìn)入配置向?qū)В褐苯酉乱徊?/p>

（3）直接命名：IP安全策略，然后下一步

（4）“激活默認(rèn)響應(yīng)規(guī)則”不要勾上，直接下一步

（5）“編輯屬性”前面也不要勾上，直接點(diǎn)完成

（6）雙擊策略，彈出窗口IP安全策略屬性；去掉“使用添加向?qū)А鼻懊娴墓矗c(diǎn)擊”添加”

（7）在彈出的窗口，命名名稱為“阻止所有”，也就是待會(huì)下面所講的阻止所有的端口及IP訪問

（8）點(diǎn)擊上面的“添加”，地址我們就都選“任何IP地址”；（源地址：就是要訪問的IP地址，目標(biāo)地址：就是主機(jī)的IP地址）

（9）設(shè)置完地址后再設(shè)置協(xié)議，可以下拉看到有很多種，這里也就設(shè)置任意

（10）點(diǎn)擊上面對話框中的“確定”，再回到“新規(guī)則屬性”下面，之前設(shè)置的是“IP篩選器列表”，現(xiàn)在設(shè)置“篩選器操作”

（11）我們要添加一個(gè)阻止，先做一個(gè)阻止所有端口、IP訪問進(jìn)出的操作，然后再逐個(gè)放行，這個(gè)應(yīng)該可以理解。我們先點(diǎn)常規(guī)，改個(gè)名“阻止”，然后確定

（12）上對話框確定好后，再看“安全措施”，選中“阻止”

（13）上對話框確定后，我們就可以得到如下窗口了。我們會(huì)發(fā)現(xiàn)有“允許”，有“阻止”，這就是我們想要的，我們點(diǎn)擊阻止；還有就是記得同時(shí)也要點(diǎn)上“IP篩選器列表”里的“阻止所有”不然就沒有具體的操作對象了

（14）上面都設(shè)置好了，確定好后我們再回到最原始的窗口也就是“IP安全策略屬性里”我們可以看到一個(gè)“阻止所有”的策略了

上面就是一個(gè)阻止所有的策略。下面我們要逐個(gè)放行，具體過程和上面是一樣的：

設(shè)置“IP篩選器列表”可以改成允許相關(guān)的端口，比如說“遠(yuǎn)程”那么默認(rèn)的遠(yuǎn)程端口就是3389

（15）還是和“阻止所有”里一樣的操作，只不過換成允許遠(yuǎn)程

（16）下面就是篩選操作了。如果本地的IP是靜態(tài)的或者IP是動(dòng)態(tài)但經(jīng)常在那個(gè)幾個(gè)范圍內(nèi)變化，那么建議使用一個(gè)特定的IP子網(wǎng)，此處我們填寫“10.36.1.0/24”；然后目標(biāo)地址就是“我的IP地址”

上面設(shè)置完之后再設(shè)置篩選器操作。在里面選擇“允許”，具體操作見回到步驟13。[4]

最后右擊IP安全策略，指派就可以了。

以上就是完整的配置IP安全策略，只允許10.36.1.0/24段IP訪問服務(wù)去的配置。

結(jié)語

文章系統(tǒng)地介紹了在服務(wù)器端配置IP安全策略的步驟。配置后，使用安全評估和安全掃描工具軟件檢測表明，應(yīng)用了此策略，能有效提高信息系統(tǒng)整體安全水平，減少黑客攻擊、病毒入侵的安全漏洞隱患。為教學(xué)服務(wù)的正常開展，提供了有效保障。

參考文獻(xiàn)

[1]范強(qiáng).局域網(wǎng)內(nèi)電腦設(shè)備安全設(shè)置和安全加固[J].信息安全與通信保密，2008.7.

[2]韓智文.IPSEC策略管理的研究[J].計(jì)算機(jī)工程與應(yīng)用，2004.32.

[3]劉世民.PC服務(wù)器安全加固研究[J].信息系統(tǒng)工程，2016.2.20.

[4]楊登攀.高校Web服務(wù)器安全問題分析與對策[J].電腦知識與技術(shù)，20157.