巧用IPSec加固Web服务器

　　接着选择“TCP”协议，选择“到此端口”并输入8800，这样就完成了列表的建立，上面的步骤就表示凡是192.168网段的计算机都可以访问此服务器。(图4)

　　但是IPSec有个弱点，就是它没有默认的拒绝功能，也就是除了上面的列表外，我们还要建立一个阻止列表。操作步骤和前面类似，只是在“源地址”中要选择“任何IP地址”，在协议中选择“任意”，最后完成此列表建立，并为此列表起一个名字比如“全部访问”。 (图5)

　　二、建立筛选器

　　完成了列表建立后，就该建立筛选器了，由于筛选器中有了一个“许可”筛选器，所以只要再建立一个“阻止”筛选器就可以了。

　　在“管理筛选器操作”标签中点“添加”按钮，在出现的向导页中输入筛选器名字，然后选择“阻止”即可完成筛选器的建立。(图6)

　　三、启动IPSec

　　现在就可以建立并启动IPSec的安全保护功能，其方法是在完成上面步骤后，在图中点“创建IP安全策略”菜单，随后输入一个名字，连续点击几个“下一步”，将打开一个属性窗口。

　　在属性窗口中点“添加”按钮，依次选择“此规则不指定隧道”、“所有网络类型”、“Kerberos V5”，随后可以看见前面建立的列表，此时选择“Web进入”后点“下一步”接着会看到筛选器，选择“允许”最后完成设置。 (图7)

　　再次在属性窗口中点“添加”按钮，重复上面的操作，只是在列表选择时选择“全部访问”，在选择筛选器的时候选择“阻止”。(图8)

　　完成上面的操作后，再次查看就会发现在原来的窗口右边多了一个策略，此时右击该策略，并点“指派”菜单 ，这样新的策略就被启动。 (图9)

　　总结：加固服务器安全，不见得要部署大型的安全软件，充分利用服务器系统集成的一些工具往往可以起到事半功倍的效果。这些工具不需要企业投入额外的成本，而且与服务器系统无缝结合，安全性、稳定性更有保障。