【IT168专稿】为了工作需要，不少单位都在内网中简单安装、配置了一台Web服务器，单位员工可以通过Web访问来轻松浏览发布到服务器中的文件通知或其他资料信息;为了防止恶意用户或不相干的人趁机偷偷访问Web服务器，规模稍微大一些的单位常常会耗费专用资金去购买、选用专业的安全工具或安全设备，来保护单位内网服务器的访问安全。可是对很多小规模的单位来说，他们往往很难挤出专项经费来选用安全工具或安全设备，这么说来在没有专业工具或设备的帮助下，我们难道就不能限制非法用户偷偷访问目标Web服务器了吗?

　　其实，我们可以在Web服务器所在的主机系统中，合理设置安全策略，仅让合法员工访问单位内网中的Web服务器，这样一来就能实现架设Web访问安全“通道”的目的了。为便于理解，本文现在假设单位内网中的目标Web服务器通过2009端口向员工提供Web访问服务，为保证Web访问安全，单位领导要求Web服务器只能让来自192.168.5.0子网中的员工通过TCP/IP通信方式访问，而不允许来自其他子网的员工通过任何通信方式访问。

　　设置合法访问列表

　　为了保证192.168.5.0子网中的员工可以通过TCP/IP通信方式顺利访问到单位内网中的目标Web服务器，我们首先应该在Web服务器所在的主机系统中创建一个合法访问Web服务器的过滤列表，确保192.168.5.0子网中的员工都位于该列表中，这么一来目标Web服务器日后就会对来自192.168.5.0子网中的Web访问行为予以放行，下面就是具体的设置步骤：

　　首先以系统特权账号登录进Web服务器所在主机系统，打开该系统的“开始”菜单，从中逐一点选“程序”、“管理工具”、“Internet信息服务管理器”选项，进入对应系统的IIS控制台界面，在该界面的左侧显示区域找到单位局域网中的目标Web站点选项，并用鼠标右键单击该站点选项，再执行右键菜单中的“属性”命令，打开目标Web站点的属性设置对话框，在该设置对话框的“常规”标签设置页面中将目标Web站点使用的网络端口调整为“2009”，再将目标Web服务器所在的主机系统重新启动一下，如此一来局域网中的任何用户日后只能通过“2009”端口访问单位目标Web服务器中的内容了，通过默认的“80”端口或其他网络端口是无法访问到发布在目标Web服务器中的各种内容的。

　　其次再打开Web服务器所在主机系统的“开始”菜单，从中点选“运行”命令，在其后出现的运行文本框中输入字符串命令“gpedit.msc”，单击“确定”按钮后，进入对应服务器系统的组策略控制台窗口;在该控制台窗口的左侧子窗格中，将鼠标定位于“计算机配置”分支选项上，并从该分支下面逐一点选“Windows设置”/“安全设置”/“IP安全设置，在本地计算机上”组策略子项，用鼠标右键单击目标组策略子项，并从右键菜单中点选“管理IP筛选器表和筛选器操作”选项(如图1所示)，之后选中其后设置窗口中的“管理IP筛选器列表”选项卡，再单击对应选项设置页面中的“添加”按钮，这时屏幕上会自动出现一个IP筛选器列表向导设置窗口。在该设置窗口中，我们可以根据自己的需要为新建的IP筛选器列表设置一个适当的名称，比方说“合法访问Web”，设置好名称后再单击对应界面中的“添加”按钮。

图1

　　当向导界面提示我们设置“源地址”时，我们应该将“一个特定的子网”项目选中，同时在自动被激活的IP地址框中输入能够访问Web服务器的目标工作子网的开始IP地址，这里笔者输入的是“192.168.5.1”，并且将对应工作子网的掩码地址设置为了“192.168.5.0”，再单击对应设置界面中的“下一步”按钮;

　　紧接着向导屏幕会要求我们设置“目标地址”参数，此时我们应该选择向导屏幕中“我的IP地址”项目，并且将单位目标Web站点的正确IP地址填写在这里的文本框中。下面，向导屏幕还会提示我们设置合适的通信协议，此时我们可以选中“TCP/IP”协议选项，继续单击向导界面中的“下一步”按钮，进入如图2所示的向导设置窗口;将该设置窗口中的“到此端口”选项选中，同时在该选项下面的文本框中输入目标Web站点的指定网络端口，这里笔者输入的网络端口号码为“2009”。在确认上面的各项设置都正确无误后，最后单击向导界面中的“完成”按钮，这样的话“合法访问Web”的过滤列表就被成功创建好了，日后来自192.168.5.0子网中的任何一位单位员工都能合法访问局域网目标Web服务器中的内容了。

图2

　　设置非法访问列表

　　由于在缺省状态下目标Web服务器所在的主机系统不支持拒绝访问功能，为了实现禁止其他工作子网中的员工利用其他通信协议访问局域网目标Web服务器，我们还需要在对应的主机系统中创建一个非法访问过滤列表。

　　在创建这种非法访问过滤列表时，我们可以依次单击“开始”/“运行”命令，在弹出的系统运行文本框中执行字符串命令“gpedit.msc”，打开对应主机系统的组策略控制台窗口，在该控制台窗口的左侧子窗格中逐一点选“计算机配置”/“Windows设置”/“安全设置”/“IP安全设置，在本地计算机上”目标组策略选项，在对应目标组策略选项的右侧子窗格中右击空白位置，从弹出的右键菜单中点选“管理IP筛选器表和筛选器操作”命令，再选中其后设置窗口中的“管理IP筛选器列表”选项卡;

　　在其后出现的选项设置页面中单击“添加”按钮，当屏幕上出现IP筛选器列表创建向导界面时，我们可以将新的列表名称设置为“完全访问Web”，再单击对应界面中的“添加”按钮;之后向导屏幕会提示我们设置“源地址”参数，这时我们应该将“任何IP地址”项目选中(如图3所示)，继续单击“下一步”按钮，再在其后界面中将“目标地址”参数设置为“我的IP地址”，同时将单位局域网中的目标Web站点的正确IP地址填写在下面的文本框中;

图3

　　下面，向导屏幕会提示我们设置网络访问通信协议，这个时候我们应该将网络协议参数修改为“任意”，同时单击向导界面中的“完成”按钮，这样的话通过该访问列表目标Web站点就能允许所有的单位员工通过任意一种网络协议进行访问了。

　　为了达到阻止其他工作子网中的单位员工不能通过任意网络协议访问局域网中的目标Web站点内容，我们还必须对之前创建的“完全访问Web”列表进行筛选，同时保证将其筛选动作调整为“阻止”，这样的话我们就能间接实现创建目标Web服务器非法访问列表了。在设置“阻止”筛选动作时，我们可以先按之前的操作进入管理IP筛选器表和筛选器操作窗口，选中对应窗口中的“管理筛选器操作”选项卡，并在对应选项设置页面中单击“添加”按钮，打开IP筛选器操作管理向导窗口，单击其中的“下一步”按钮，然后将对应的筛选器名称取为“非法访问Web”，当屏幕上出现如图4所示的设置对话框时，选中“阻止”选项，再依照屏幕模式提示完成剩余操作就OK了。

图4

　　启用访问列表策略

　　在设置好合法访问列表策略和非法访问列表列表策略后，我们还需要在局域网目标Web服务器所在的主机系统中创建一个IP安全保护策略，来将上面的访问列表策略包含在内，同时需要采用手工方法将这个新的IP安全保护策略启用起来，那样的话目标Web服务器才能按照上面的访问过滤列表进行限制访问。在创建、启用IP安全保护策略时，我们可以按照如下步骤来进行：

　　首先在Web服务器所在主机系统桌面中打开“开始”菜单，从中点选“运行”命令，在其后出现的运行框中输入字符串命令“gpedit.msc”，单击“确定”按钮后，进入对应服务器系统的组策略控制台窗口;在该控制台窗口的左侧子窗格中，将鼠标定位于“计算机配置”分支选项上，并从该分支下面逐一点选“Windows设置”/“安全设置”/“IP安全设置，在本地计算机上”组策略子项，用鼠标右键单击目标组策略子项，从其后出现的右键菜单中单击“创建IP安全策略”选项，之后依照向导屏幕的提示依次点选“下一步”按钮，直到出现如图5所示的安全策略设置对话框;

　　其次单击图5界面中的“添加”按钮，在其后出现的向导界面中逐一点选“此规则不指定隧道”、“所有网络连接”、“Kerberos V5”等选项，随后我们会在IP筛选器列表框中看到之前已经创建好的“合法访问Web”名称选项和“非法访问Web”名称选项，将“合法访问Web”选项选中，同时将该筛选参数调整为“允许”，最后单击“确定”按钮结束目标Web服务器的IP安全保护策略创建操作。

图5

　　到了这里，目标Web服务器的IP安全保护策略还不能立即生效，我们需要再次返回到对应系统的组策略控制台窗口，将鼠标定位于该窗口左侧显示区域中的“计算机配置”节点选项上，再从目标节点分支下面逐一单击“Windows设置”、“安全设置”、“IP安全设置，在本地计算机上”目标组策略子项，这时从该子项下面我们会看到先前创建好的目标IP安全保护策略了，此时用鼠标右击该安全保护策略，从右键菜单中单击“指派”命令，这样的话目标IP安全策略就能立即生效了，在该安全策略的“护驾”下单位局域网中的目标Web服务器日后将会只允许来自192.168.5.0工作子网中的单位员工进行Web访问，其他任何员工都不能随意访问其中的内容，那样一来WEB访问安全“通道”就算架设成功了。