多媒体教学服务器限制访问的一种措施

2019-06-17 07:35梁民王北
新教育时代·教师版 2019年16期
关键词:安全策略IP地址报文

梁民 王北

摘 要:为加强教学服务器的安全级别,除采用常规安全加固手段之外,采用了IP安全策略,对服务器进行了只允许特定IP访问的配置。文章简单介绍了windows的IP安全策略,给出了详细的配置步骤。

关键词:IP安全策略安全加固IP筛选器安全策略

引言

在多媒体教学服务工作中,人民大学对各教室的电脑采用集群管理模式, 由服务器来完成软件的安装,系统的更新以及对学生机的集中管理等工作。教学服务器只和各教室的电脑进行通讯,针对以上情况下,我们对服务器的安全加固,除了做好常规的加固,通过了对indows系统自带的IP安全策略的配置,只允许特定IP访问,提高了服务器的安全性。

一、IP安全策略介绍

IP安全策略是windows系统提供的一种安全技术,它是一种基于点到点的安全模型,可实现更高层次的局域网数据的安全性。IP安全策略将通讯内容与设定好的规则进行比较,用以判断通讯是否与预期相吻合,然后决定允许还是拒绝通讯的传输。IP安全策略弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全。当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。[1]

IP安全策略的基本功能是访问控制以及有选择地实施安全,即只有选中的 IP报文才被允许通过或被指定的安全功能所保护。IP报文的选择和安全动作的规定都由存储在SPD数据库里的IP策略定义。一条IPsec策略由条件(condition)和动作(action)两 部 分 组 成 ,表 示 形 式 为(condition -> action),其 语 义是:如果条件满足的话,则执行相应的动作。策略里的条件映射到报文选择符的取值。选择符可以是 IP 报文头部、TCP 报文头部或者隧道封装头部里的任何协议域;动作通常有三种:deny,allow和IPsec_action,分别表示对选中的报文进行丢弃、允许通过和施加IPsec 所指定的保护。IPsec_action 规定了特定的安全功能,如加密或认证,它的属性包括安全协议、算法、模式(传输或隧道)、安全实施起始点和终止点等。一个最简单的策略示例为(src=A,dat=B-〉allow),它的含义是:允许源地址为A且目的地址为 B 的所有IP报文通过。[2]

二、IP安全策略配置方法

我们以某教学楼服务器配置为例,我们的需求是只允许此教学楼教室里的电脑(IP地址段为 10.36.1.0/24)能访问此教学服务器,其他地址均不能访问此服务器。在配置上,我们应该首先设置为禁止所有IP地址访问此服务器,然后再配置地址为10.36.1.0/24的IP能访问此服務器。具体配置步骤为先配置安全策略,再配置IP筛选器列表,最后为这些安全策略指定 IP筛选器,指定筛选器操作即可。详细配置步骤如下:[3]

1.阻止所有:

打开本地安全策略:点击电脑左下角的“开始”-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略弹出来的窗口中,右击IP安全策略,在本地计算机。

(1)创建IP安全策略

(2)进入配置向导:直接下一步

(3)直接命名:IP安全策略,然后下一步

(4)“激活默认响应规则”不要勾上,直接下一步

(5)“编辑属性”前面也不要勾上,直接点完成

(6)双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾,点击”添加”

(7)在弹出的窗口,命名名称为“阻止所有”,也就是待会下面所讲的阻止所有的端口及IP访问

(8)点击上面的“添加”,地址我们就都选“任何IP地址”;(源地址:就是要访问的IP地址,目标地址:就是主机的IP地址)

(9)设置完地址后再设置协议,可以下拉看到有很多种,这里也就设置任意

(10)点击上面对话框中的“确定”,再回到“新规则属性”下面,之前设置的是“IP筛选器列表”,现在设置“筛选器操作”

(11)我们要添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。我们先点常规,改个名“阻止”,然后确定

(12)上对话框确定好后,再看“安全措施”,选中“阻止”

(13)上对话框确定后,我们就可以得到如下窗口了。我们会发现有“允许”,有“阻止”,这就是我们想要的,我们点击阻止;还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了

(14)上面都设置好了,确定好后我们再回到最原始的窗口也就是“IP安全策略属性里”我们可以看到一个“阻止所有”的策略了

上面就是一个阻止所有的策略。下面我们要逐个放行,具体过程和上面是一样的:

设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389

(15)还是和“阻止所有”里一样的操作,只不过换成允许远程

(16)下面就是筛选操作了。如果本地的IP是静态的或者IP是动态但经常在那个几个范围内变化,那么建议使用一个特定的IP子网,此处我们填写“10.36.1.0/24”;然后目标地址就是“我的IP地址”

上面设置完之后再设置筛选器操作。在里面选择“允许”,具体操作见回到步骤13。[4]

最后右击IP安全策略,指派就可以了。

以上就是完整的配置IP安全策略,只允许10.36.1.0/24段IP访问服务去的配置。

结语

文章系统地介绍了在服务器端配置IP安全策略的步骤。配置后,使用安全评估和安全扫描工具软件检测表明,应用了此策略,能有效提高信息系统整体安全水平,减少黑客攻击、病毒入侵的安全漏洞隐患。为教学服务的正常开展,提供了有效保障。

参考文献

[1]范强.局域网内电脑设备安全设置和安全加固[J].信息安全与通信保密,2008.7.

[2]韩智文.IPSEC策略管理的研究[J].计算机工程与应用,2004.32.

[3]刘世民.PC服务器安全加固研究[J].信息系统工程,2016.2.20.

[4]杨登攀.高校Web服务器安全问题分析与对策[J].电脑知识与技术,20157.

猜你喜欢
安全策略IP地址报文
基于认知负荷理论的叉车安全策略分析
基于J1939 协议多包报文的时序研究及应用
CTCS-2级报文数据管理需求分析和实现
基于飞行疲劳角度探究民航飞行员飞行安全策略
铁路远动系统几种组网方式IP地址的申请和设置
浅析反驳类报文要点
IP地址切换器(IPCFG)
浅析涉密信息系统安全策略
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考