【IT168专稿】为了工作需要,不少单位都在内网中简单安装、配置了一台Web服务器,单位员工可以通过Web访问来轻松浏览发布到服务器中的文件通知或其他资料信息;为了防止恶意用户或不相干的人趁机偷偷访问Web服务器,规模稍微大一些的单位常常会耗费专用资金去购买、选用专业的安全工具或安全设备,来保护单位内网服务器的访问安全。可是对很多小规模的单位来说,他们往往很难挤出专项经费来选用安全工具或安全设备,这么说来在没有专业工具或设备的帮助下,我们难道就不能限制非法用户偷偷访问目标Web服务器了吗?
其实,我们可以在Web服务器所在的主机系统中,合理设置安全策略,仅让合法员工访问单位内网中的Web服务器,这样一来就能实现架设Web访问安全“通道”的目的了。为便于理解,本文现在假设单位内网中的目标Web服务器通过2009端口向员工提供Web访问服务,为保证Web访问安全,单位领导要求Web服务器只能让来自192.168.5.0子网中的员工通过TCP/IP通信方式访问,而不允许来自其他子网的员工通过任何通信方式访问。
设置合法访问列表
为了保证192.168.5.0子网中的员工可以通过TCP/IP通信方式顺利访问到单位内网中的目标Web服务器,我们首先应该在Web服务器所在的主机系统中创建一个合法访问Web服务器的过滤列表,确保192.168.5.0子网中的员工都位于该列表中,这么一来目标Web服务器日后就会对来自192.168.5.0子网中的Web访问行为予以放行,下面就是具体的设置步骤:
首先以系统特权账号登录进Web服务器所在主机系统,打开该系统的“开始”菜单,从中逐一点选“程序”、“管理工具”、“Internet信息服务管理器”选项,进入对应系统的IIS控制台界面,在该界面的左侧显示区域找到单位局域网中的目标Web站点选项,并用鼠标右键单击该站点选项,再执行右键菜单中的“属性”命令,打开目标Web站点的属性设置对话框,在该设置对话框的“常规”标签设置页面中将目标Web站点使用的网络端口调整为“2009”,再将目标Web服务器所在的主机系统重新启动一下,如此一来局域网中的任何用户日后只能通过“2009”端口访问单位目标Web服务器中的内容了,通过默认的“80”端口或其他网络端口是无法访问到发布在目标Web服务器中的各种内容的。
其次再打开Web服务器所在主机系统的“开始”菜单,从中点选“运行”命令,在其后出现的运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮后,进入对应服务器系统的组策略控制台窗口;在该控制台窗口的左侧子窗格中,将鼠标定位于“计算机配置”分支选项上,并从该分支下面逐一点选“Windows设置”/“安全设置”/“IP安全设置,在本地计算机上”组策略子项,用鼠标右键单击目标组策略子项,并从右键菜单中点选“管理IP筛选器表和筛选器操作”选项(如图1所示),之后选中其后设置窗口中的“管理IP筛选器列表”选项卡,再单击对应选项设置页面中的“添加”按钮,这时屏幕上会自动出现一个IP筛选器列表向导设置窗口。在该设置窗口中,我们可以根据自己的需要为新建的IP筛选器列表设置一个适当的名称,比方说“合法访问Web”,设置好名称后再单击对应界面中的“添加”按钮。
图1
当向导界面提示我们设置“源地址”时,我们应该将“一个特定的子网”项目选中,同时在自动被激活的IP地址框中输入能够访问Web服务器的目标工作子网的开始IP地址,这里笔者输入的是“192.168.5.1”,并且将对应工作子网的掩码地址设置为了“192.168.5.0”,再单击对应设置界面中的“下一步”按钮;
紧接着向导屏幕会要求我们设置“目标地址”参数,此时我们应该选择向导屏幕中“我的IP地址”项目,并且将单位目标Web站点的正确IP地址填写在这里的文本框中。下面,向导屏幕还会提示我们设置合适的通信协议,此时我们可以选中“TCP/IP”协议选项,继续单击向导界面中的“下一步”按钮,进入如图2所示的向导设置窗口;将该设置窗口中的“到此端口”选项选中,同时在该选项下面的文本框中输入目标Web站点的指定网络端口,这里笔者输入的网络端口号码为“2009”。在确认上面的各项设置都正确无误后,最后单击向导界面中的“完成”按钮,这样的话“合法访问Web”的过滤列表就被成功创建好了,日后来自192.168.5.0子网中的任何一位单位员工都能合法访问局域网目标Web服务器中的内容了。
图2