梁民 王北

摘 要：為加強教學服務器的安全級別，除采用常規(guī)安全加固手段之外，采用了IP安全策略，對服務器進行了只允許特定IP訪問的配置。文章簡單介紹了windows的IP安全策略，給出了詳細的配置步驟。

關鍵詞：IP安全策略安全加固IP篩選器安全策略

引言

在多媒體教學服務工作中，人民大學對各教室的電腦采用集群管理模式， 由服務器來完成軟件的安裝，系統(tǒng)的更新以及對學生機的集中管理等工作。教學服務器只和各教室的電腦進行通訊，針對以上情況下，我們對服務器的安全加固，除了做好常規(guī)的加固，通過了對indows系統(tǒng)自帶的IP安全策略的配置，只允許特定IP訪問，提高了服務器的安全性。

一、IP安全策略介紹

IP安全策略是windows系統(tǒng)提供的一種安全技術，它是一種基于點到點的安全模型，可實現(xiàn)更高層次的局域網(wǎng)數(shù)據(jù)的安全性。IP安全策略將通訊內(nèi)容與設定好的規(guī)則進行比較，用以判斷通訊是否與預期相吻合，然后決定允許還是拒絕通訊的傳輸。IP安全策略彌補了傳統(tǒng)TCP/IP設計上的"隨意信任"重大安全漏洞，可以實現(xiàn)更仔細更精確的TCP/IP安全。當我們配置好IP安全策略后，就相當于擁有了一個免費，但功能完善的個人防火墻。[1]

IP安全策略的基本功能是訪問控制以及有選擇地實施安全，即只有選中的 IP報文才被允許通過或被指定的安全功能所保護。IP報文的選擇和安全動作的規(guī)定都由存儲在SPD數(shù)據(jù)庫里的IP策略定義。一條IPsec策略由條件（condition）和動作（action）兩 部 分 組 成 ，表 示 形 式 為（condition -> action），其 語 義是：如果條件滿足的話，則執(zhí)行相應的動作。策略里的條件映射到報文選擇符的取值。選擇符可以是 IP 報文頭部、TCP 報文頭部或者隧道封裝頭部里的任何協(xié)議域；動作通常有三種：deny，allow和IPsec_action，分別表示對選中的報文進行丟棄、允許通過和施加IPsec 所指定的保護。IPsec_action 規(guī)定了特定的安全功能，如加密或認證，它的屬性包括安全協(xié)議、算法、模式（傳輸或隧道）、安全實施起始點和終止點等。一個最簡單的策略示例為（src=A，dat=B-〉allow），它的含義是：允許源地址為A且目的地址為 B 的所有IP報文通過。[2]

二、IP安全策略配置方法

我們以某教學樓服務器配置為例，我們的需求是只允許此教學樓教室里的電腦（IP地址段為 10.36.1.0/24）能訪問此教學服務器，其他地址均不能訪問此服務器。在配置上，我們應該首先設置為禁止所有IP地址訪問此服務器，然后再配置地址為10.36.1.0/24的IP能訪問此服務器。具體配置步驟為先配置安全策略，再配置IP篩選器列表，最后為這些安全策略指定 IP篩選器，指定篩選器操作即可。詳細配置步驟如下：[3]

1.阻止所有：

打開本地安全策略：點擊電腦左下角的“開始”-運行-輸入secpol.msc或者開始-程序-管理工具-本地安全策略彈出來的窗口中，右擊IP安全策略，在本地計算機。

（1）創(chuàng)建IP安全策略

（2）進入配置向?qū)В褐苯酉乱徊?/p>

（3）直接命名：IP安全策略，然后下一步

（4）“激活默認響應規(guī)則”不要勾上，直接下一步

（5）“編輯屬性”前面也不要勾上，直接點完成

（6）雙擊策略，彈出窗口IP安全策略屬性；去掉“使用添加向?qū)А鼻懊娴墓矗c擊”添加”

（7）在彈出的窗口，命名名稱為“阻止所有”，也就是待會下面所講的阻止所有的端口及IP訪問

（8）點擊上面的“添加”，地址我們就都選“任何IP地址”；（源地址：就是要訪問的IP地址，目標地址：就是主機的IP地址）

（9）設置完地址后再設置協(xié)議，可以下拉看到有很多種，這里也就設置任意

（10）點擊上面對話框中的“確定”，再回到“新規(guī)則屬性”下面，之前設置的是“IP篩選器列表”，現(xiàn)在設置“篩選器操作”

（11）我們要添加一個阻止，先做一個阻止所有端口、IP訪問進出的操作，然后再逐個放行，這個應該可以理解。我們先點常規(guī)，改個名“阻止”，然后確定

（12）上對話框確定好后，再看“安全措施”，選中“阻止”

（13）上對話框確定后，我們就可以得到如下窗口了。我們會發(fā)現(xiàn)有“允許”，有“阻止”，這就是我們想要的，我們點擊阻止；還有就是記得同時也要點上“IP篩選器列表”里的“阻止所有”不然就沒有具體的操作對象了

（14）上面都設置好了，確定好后我們再回到最原始的窗口也就是“IP安全策略屬性里”我們可以看到一個“阻止所有”的策略了

上面就是一個阻止所有的策略。下面我們要逐個放行，具體過程和上面是一樣的：

設置“IP篩選器列表”可以改成允許相關的端口，比如說“遠程”那么默認的遠程端口就是3389

（15）還是和“阻止所有”里一樣的操作，只不過換成允許遠程

（16）下面就是篩選操作了。如果本地的IP是靜態(tài)的或者IP是動態(tài)但經(jīng)常在那個幾個范圍內(nèi)變化，那么建議使用一個特定的IP子網(wǎng)，此處我們填寫“10.36.1.0/24”；然后目標地址就是“我的IP地址”

上面設置完之后再設置篩選器操作。在里面選擇“允許”，具體操作見回到步驟13。[4]

最后右擊IP安全策略，指派就可以了。

以上就是完整的配置IP安全策略，只允許10.36.1.0/24段IP訪問服務去的配置。

結語

文章系統(tǒng)地介紹了在服務器端配置IP安全策略的步驟。配置后，使用安全評估和安全掃描工具軟件檢測表明，應用了此策略，能有效提高信息系統(tǒng)整體安全水平，減少黑客攻擊、病毒入侵的安全漏洞隱患。為教學服務的正常開展，提供了有效保障。

參考文獻

[1]范強.局域網(wǎng)內(nèi)電腦設備安全設置和安全加固[J].信息安全與通信保密，2008.7.

[2]韓智文.IPSEC策略管理的研究[J].計算機工程與應用，2004.32.

[3]劉世民.PC服務器安全加固研究[J].信息系統(tǒng)工程，2016.2.20.

[4]楊登攀.高校Web服務器安全問題分析與對策[J].電腦知識與技術，20157.