巧用IP 安全策略與ACL 限制網(wǎng)站訪問(wèn)

編者按：筆者單位需要計(jì)算機(jī)只能訪問(wèn)監(jiān)控平臺(tái)的IP 地址，不可以訪問(wèn)其它任何地址，并且不能影響殺毒軟件病毒庫(kù)升級(jí)。筆者根據(jù)單位實(shí)際情況，綜合考慮后決定使用本機(jī)IP 安全策略與交換機(jī)端口作ACL 訪問(wèn)控制相結(jié)合的方法。

IP 安全策略是系統(tǒng)自帶的一個(gè)組策略功能，利用它可以滿足我們很多網(wǎng)絡(luò)連接方面的需求，特別是服務(wù)器端口開放，IP訪問(wèn)等，總之功能很強(qiáng)大，用途很廣泛。如何實(shí)現(xiàn)只允許訪問(wèn)特定網(wǎng)址，除此之外其它網(wǎng)址都不能訪問(wèn)。

下面是操作步驟：

1.在開始“運(yùn)行里”輸入：secpol.msc，點(diǎn)擊“確定”。在彈出的“本地安全設(shè)置”的窗口，選中左邊框里的“IP安全策略 在本地計(jì)算機(jī)”。

2.在“IP 安全策略”上鼠標(biāo)右鍵，在右鍵菜單里選擇“管理IP 篩選器列表和篩選器操作”。

3.在彈出的對(duì)話框中選擇“管理IP 篩選器列表”標(biāo)簽，單擊下面的“添加”按鈕，在彈出的“IP 篩選器列表”對(duì)話框中去掉右側(cè)“使用添加向?qū)А钡墓催x，在名稱框里輸入“屏蔽的網(wǎng)址”，單擊右邊的“添加”按鈕。

4.在彈出的“IP 篩選器屬性” 對(duì)話框的“源地址”下拉框中選擇“我的IP 地址”，“目標(biāo)地址”下拉框中選擇“任何IP 地址”，之后選中“鏡像”復(fù)選框；然后單擊上面的“協(xié)議”標(biāo)簽，在“選擇協(xié)議類型”的下拉框選中“TCP”，點(diǎn)選最下面的“到此端口”并在下面填入80，然后單擊“確定”按鈕。

5.在返回的“IP 篩選器列表”對(duì)話框中可以看到剛添加的IP 篩選器，也就是針對(duì)任何IP 地址80 端口的規(guī)則，之后單擊“確定”按鈕。

6.在“管理IP 篩選器列表和篩選器操作” 對(duì)話框中繼續(xù)添加IP篩選器，單擊下 邊的“添加”按鈕，在彈出的對(duì)話框中的名稱文本框中填入“允許訪問(wèn)的網(wǎng)址”，去掉右側(cè)“使用添加向?qū)А钡墓催x之后單擊右邊的“添加”按鈕。

7.在彈出的“IP 篩 選器屬性”對(duì)話框的“源地址”下拉框中選擇“我的IP 地址”，“目標(biāo)地址”下拉框中選擇“一個(gè)特定的IP 地址或子網(wǎng)”，之后在下面的文本中填入允許訪問(wèn)的IP 地址，在這里填入領(lǐng)導(dǎo)要求訪問(wèn)的監(jiān)控平臺(tái)的IP，之后選中“鏡像”復(fù)選框。這里可以舉一反三，如果目標(biāo)地址是域名，則需要在“目標(biāo)地址”下拉框里選中“一個(gè)特定的DNS 名稱”，在主機(jī)名文本框中填入想要訪問(wèn)的域名地址，單擊上面的“協(xié)議”標(biāo)簽。在“選擇協(xié)議類型”的下拉框選中“任何”之后單擊“確定”按鈕。

8.在返回的“IP 篩選器列表” 對(duì)話框中可以看到新添加的這條規(guī)則，也就是針對(duì)特定IP 地址的規(guī)則，這里的記錄多少是不定的，可以根據(jù)實(shí)際需要添加。

9.領(lǐng)導(dǎo)要求除了訪問(wèn)監(jiān)控平臺(tái)的地址外，殺毒軟件病毒庫(kù)能正常升級(jí)，我們可以先運(yùn)行病毒庫(kù)升級(jí)程序，之后在“運(yùn)行”中輸入 “cmd”之后使用netstat –ano 命令查看本機(jī)病毒庫(kù)升級(jí)程序訪問(wèn)的外部地址及端口，作為“IP 篩選器”將這些地址按前面的步驟加入到“允許訪問(wèn)的網(wǎng)址”IP 安全規(guī)則中。

10.在返回到“本地安全策略”的主窗口，在“IP 安全策略 在本地計(jì)算機(jī)”鼠標(biāo)右鍵選擇“創(chuàng)建IP 安全策略”，在彈出的“IP 安全策略向?qū)А睂?duì)話框，直接點(diǎn)“下一步”，在名稱文本框中填入“策略1”，在下面的描述框輸入對(duì)這個(gè)策略用途的描述，方便以后管理。單擊“下一步”，去掉“激活默認(rèn)響應(yīng)規(guī)則”前面的勾選。單擊“下一步”按鈕后單擊“完成”按鈕。

11.在彈出的“策略1屬性” 對(duì)話框，去掉右下角“使用添加向?qū)А钡墓催x，然后點(diǎn)“添加”按鈕。在彈出的“新規(guī)則屬性”對(duì)話框下面的“IP 篩選器列表”里選中前面建好的“屏蔽的網(wǎng)址”篩選器，然后單擊上面的“篩選器操作”標(biāo)簽，在“篩選器操作”下面點(diǎn)選“阻止”單選框，然后單擊“確定”按鈕。

12.這時(shí)候在返回到的“策略1 屬性” 對(duì)話框下的“IP 安全規(guī)則”里有了一個(gè)名為“屏蔽的網(wǎng)址”的規(guī)則，篩選器的操作是“阻止”，這時(shí)候我們要繼續(xù)點(diǎn)擊“添加”按鈕，把前面做的允許訪問(wèn)的規(guī)則也添加進(jìn)去。

13.在“新規(guī)則屬性”對(duì)話框下的“IP 篩選器列表”里點(diǎn)選前面建好的“允許訪問(wèn)的網(wǎng)址”策略，然后點(diǎn)擊“篩選器操作”標(biāo)簽，在“篩選器操作”里點(diǎn)選“許可”單選框，然后點(diǎn)“確定”按鈕。

14.這 時(shí)候 在“策 略1屬性”對(duì)話框下面的“IP 安全規(guī)則”里出現(xiàn)了新添加的兩個(gè)規(guī)則，一個(gè)是“屏蔽的網(wǎng)址”，操作是阻止，一個(gè)是“允許訪問(wèn)的網(wǎng)址”，操作是允許。這樣我們就利用了規(guī)則的允許優(yōu)先的原則達(dá)到了我們的目的，先屏蔽掉所有的網(wǎng)址，然后放開允許的網(wǎng)址，至此整個(gè)設(shè)置工作完成，不過(guò)規(guī)則還沒生效，我們點(diǎn)擊“關(guān)閉”按鈕返回到 “本地安全設(shè)置”窗口。

15.在此窗口右側(cè)，找到剛才新建的“策略1”，在上面鼠標(biāo)右鍵選擇“指派”。至此所有的操作完成，可以去打開網(wǎng)頁(yè)進(jìn)行測(cè)試，效果非常好。如果想停止策略，可以在已指派的策略上鼠標(biāo)右鍵取消指派。需要說(shuō)明一下，一次只能指派一個(gè)策略，多個(gè)策略不能同時(shí)工作，但是我們可以在一個(gè)策略里建立多個(gè)安全規(guī)則來(lái)實(shí)現(xiàn)不同的功能需求。最后要注意一點(diǎn)，設(shè)置完成后IPSEC 服務(wù)必須為“啟動(dòng)”狀態(tài)并且啟動(dòng)類型必須設(shè)置為“自動(dòng)”。

設(shè)置完成后，可以將這個(gè)策略導(dǎo)出留作備份，后期重裝系統(tǒng)后可以將文件再導(dǎo)入到策略中。接下來(lái)繼續(xù)作一下交換機(jī)的ACL 訪問(wèn)控制列表配置，用packet filter 策略來(lái)實(shí)現(xiàn)，使用這個(gè)方法結(jié)合上面IP 安全策略的配置可以非常有效的實(shí)現(xiàn)領(lǐng)導(dǎo)的要求，做到雙重保險(xiǎn)。例如，這臺(tái)監(jiān)控用計(jì)算機(jī)與交換機(jī)1 口連接，使其只能訪問(wèn)192.168.1.1 這個(gè)IP，以H3C交換配置命令舉例如下：

acl number 3000

rulepermitip destination 192.168.1.1 0.0.0.0

rule deny ip

interface gigabite thernet 1/0/1

packet filter 3000