多媒体教学服务器限制访问的一种措施

2019-06-17梁民王北

新教育时代·教师版 2019年16期

梁民王北

摘要：为加强教学服务器的安全级别，除采用常规安全加固手段之外，采用了IP安全策略，对服务器进行了只允许特定IP访问的配置。文章简单介绍了windows的IP安全策略，给出了详细的配置步骤。

关键词：IP安全策略安全加固IP筛选器安全策略

引言

在多媒体教学服务工作中，人民大学对各教室的电脑采用集群管理模式，由服务器来完成软件的安装，系统的更新以及对学生机的集中管理等工作。教学服务器只和各教室的电脑进行通讯，针对以上情况下，我们对服务器的安全加固，除了做好常规的加固，通过了对indows系统自带的IP安全策略的配置，只允许特定IP访问，提高了服务器的安全性。

一、IP安全策略介绍

IP安全策略是windows系统提供的一种安全技术，它是一种基于点到点的安全模型，可实现更高层次的局域网数据的安全性。IP安全策略将通讯内容与设定好的规则进行比较，用以判断通讯是否与预期相吻合，然后决定允许还是拒绝通讯的传输。IP安全策略弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。[1]

IP安全策略的基本功能是访问控制以及有选择地实施安全，即只有选中的 IP报文才被允许通过或被指定的安全功能所保护。IP报文的选择和安全动作的规定都由存储在SPD数据库里的IP策略定义。一条IPsec策略由条件（condition）和动作（action）两部分组成，表示形式为（condition -> action），其语义是：如果条件满足的话，则执行相应的动作。策略里的条件映射到报文选择符的取值。选择符可以是 IP 报文头部、TCP 报文头部或者隧道封装头部里的任何协议域；动作通常有三种：deny，allow和IPsec_action，分别表示对选中的报文进行丢弃、允许通过和施加IPsec 所指定的保护。IPsec_action 规定了特定的安全功能，如加密或认证，它的属性包括安全协议、算法、模式（传输或隧道）、安全实施起始点和终止点等。一个最简单的策略示例为（src=A，dat=B-〉allow），它的含义是：允许源地址为A且目的地址为 B 的所有IP报文通过。[2]

二、IP安全策略配置方法

我们以某教学楼服务器配置为例，我们的需求是只允许此教学楼教室里的电脑（IP地址段为 10.36.1.0/24）能访问此教学服务器，其他地址均不能访问此服务器。在配置上，我们应该首先设置为禁止所有IP地址访问此服务器，然后再配置地址为10.36.1.0/24的IP能访问此服務器。具体配置步骤为先配置安全策略，再配置IP筛选器列表，最后为这些安全策略指定 IP筛选器，指定筛选器操作即可。详细配置步骤如下：[3]

1.阻止所有：

打开本地安全策略：点击电脑左下角的“开始”-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略弹出来的窗口中，右击IP安全策略，在本地计算机。

（1）创建IP安全策略

（2）进入配置向导：直接下一步

（3）直接命名：IP安全策略，然后下一步

（4）“激活默认响应规则”不要勾上，直接下一步

（5）“编辑属性”前面也不要勾上，直接点完成

（6）双击策略，弹出窗口IP安全策略属性；去掉“使用添加向导”前面的勾，点击”添加”

（7）在弹出的窗口，命名名称为“阻止所有”，也就是待会下面所讲的阻止所有的端口及IP访问

（8）点击上面的“添加”，地址我们就都选“任何IP地址”；（源地址：就是要访问的IP地址，目标地址：就是主机的IP地址）

（9）设置完地址后再设置协议，可以下拉看到有很多种，这里也就设置任意

（10）点击上面对话框中的“确定”，再回到“新规则属性”下面，之前设置的是“IP筛选器列表”，现在设置“筛选器操作”