【IT168专稿】IIS作为网站服务器的主心骨，是比较脆弱的，因此，我们要想保障IIS安全，必须要制定一些安全策略，让IIS始终处在安全策略的保护之下。在这里抛开人为的管理策略不谈，只从技术的角度，通过制订IP安全策略、安全审核策略来保护IIS。

　　一、IP安全策略
　　IPSec 策略（IP Security）即IP安全机制是抵御内部、专用网络及外部安全攻击的关键防线。IPSec 使用加密的安全服务来提供数据完整性、数据身份验证、数据机密性和 TCP/IP 通讯重放等多种级别的保护。
　　在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有效地把源计算机的数据传输到目标计算机。那么，我们如何来创建IP安全策略呢？这里就以Windows 2003为蓝本来说明。运行Gpedit.mscC，打开“组策略”对话窗口，依次展开“计算机配置”——“Windows 设置”——“安全设置”——“IP 安全策略，在本地计算机”，在其右侧窗口中就呆系统内置的三条安全策略：安全服务器(要求安全设置)、客户端(只响应)、服务器(请求安全设置)。利用IP安全策略只允许访问80端口，就可以保障Web服务的绝对安全，请跟我来……
　　在其右侧窗口中右击鼠标，在弹出的快捷菜单中选择“创建IP安全策略”（如图1），打开“IP安全策略向导”对话框，单击“下一步”，然后输入策略名称（比如：WWW）和策略描述。单击“下一步”，不勾选“激活默认响应规则”复选项，单击“下一步”，再点击“完成”就完成IP安全策略的创建工作。

图1

　　接下来在此安全策略中创建两条IP安全规则：“deny all”和“allow tcp 80”，在弹出的“WWW 属性”对话框“规则”选项页中不勾选“使用“添加向导””复选项，然后点击“添加”来创建新规则。先得创建一个筛选器，在“IP筛选器列表”选项页中点击“添加”，给筛选器取个名称（deny all），如图2所示，再点击“添加”打开“筛选器 属性”对话框，在“寻址”选项页中的“源地址”中选择“任何IP地址”，“目标地址”指定为“我的IP地址”。

图2

　　接下来切换到“协议”选项页，在“选项协议类型”中选择“任意”，依次点击“完成”返回“新规则 属性”对话窗口，在“IP筛选器列表”选定“deny all”，再在“筛选器操作”选项页添加一个过滤操作，将“安全措施”设置为“阻止”，并选定它。返回到“WWW 属性”对话框，勾选“deny all”复选项，此安全规则的作用就是是禁止任何计算机访问本机。

　　我们还得为访问者开放80端口，用同样的方法建议“allow tcp 80”，将其筛选器属性设置为从“所有IP地址”到“我的IP地址”，协议为“TCP”，设置IP协议端口从任意端口到80端口（如图3），将该筛选器的“安全设置”指定为“许可”，该IP安全规则的功能就是允许网络中的计算机访问本机的WWW服务。

图3

     设置好IP安全规则后，在“WWW 属性”对话框的“IP安全规则”列表中一起勾选“deny all”和“allow tcp 80”，点击“关闭”返回。最后要做的是指派该策略，只有指派后，它才起作用。右击刚刚配置好的策略，在弹出的快捷菜单中选择“指派”命令启用策略。这样，任何计算机只能用访问TCP的80端口，而Ping包、UDP等均不响应。