配置IPSec安全策略
阿新 • • 發佈:2019-02-05
最近一個專案用到了Remoting,據說是出於安全性的考慮。但是在開發上的效率還是比較低的,也是比較複雜的。另外還有一個安全性的問題,就是Remoting所在的機器是可以直接訪問DB的,而App Server是隻能通過Remoting對DB進行操作的,換句話就是隻允許Remoting所在的機器,其他機器是無法直接訪問DB的。
那就需要在Server上進行配置,雖然用Firewall是比較方便的,但是我記得以前看到過一篇文章上曾提到Windows自帶的IPSec也可以辦到的。於是馬上搜索,但是比較遺憾的是搜出來的文章大多都沒有附圖,即使有也不完整,為了方便自己,我花了點時間配置了一下,並記錄了整個過程,這樣下次再用的時候就可以參考了。
首先,要開啟伺服器上IPSec服務。如下圖所示:
然後,到控制面板的管理工具中開啟本地安全策略。如下圖所示:
在開啟的介面中,選擇“IP安全策略,在本地計算機”,然後點選右鍵,選擇“建立IP安全策略”。如下圖所示:
在IP安全策略嚮導中,建立一個“Port 3306”的策略,因為是MySQL用的。如下如所示:
建立完畢後,回到“IP安全策略,在本地計算機”,選擇“管理IP篩選器表和篩選器操作。如下圖所示:
新建一個IP篩選器,如下圖所示。
首先指定IP的源地址,也就是你允許訪問DB的IP的地址。如下圖所示:
在建立目標地址,也就是Server本身的地址。如下圖所示:
選擇協議型別。如下圖所示:
在選擇協議IP埠,如下圖所示:
接著再新增IP篩選器操作,因為之前已經添加了IP,現在就要新增一個行為去規範IP的操作,是允許還是阻止這個IP訪問Server。如下圖所示:
同樣,首先增加篩選器操作名稱,如下圖所示:
再設定篩選器操作的行為,設定為允許,如下圖所示。
以上這些都設定好之後,就可以建立規則了,也就是一個IP策略對應一個篩選器,你可以建一個IP,允許這個IP策略訪問Server,還可以建立一個IP策略,阻止它訪問Server,這樣就可以實現IP的安全訪問控制了。如下圖所示:
先選擇IP篩選器列表,如下圖所示:
再IP篩選器操作,如下圖所示:
好了,到目前為止,我們已經建立了一個IP策略,這個策略允許192.168.0.3訪問Server的3306埠,然後我們再設定一個IP策略,阻止所有的IP訪問Server的3306埠,這樣Server的3306埠僅供192.168.0.3訪問。如下圖所示:
現在所有的策略都建好了,但還差最後一步,就是使這個策略其作用,也就是要指派,都則是不會起作用的。如下圖所示:
好了,現在安全訪問控制就實現了,雖然比較麻煩,但是無需要額外的Firewall,在某些場合安全程度不高的情況下也可以使用,如果對安全性要求很高,那還是使用專業的Firewall軟硬體。
那就需要在Server上進行配置,雖然用Firewall是比較方便的,但是我記得以前看到過一篇文章上曾提到Windows自帶的IPSec也可以辦到的。於是馬上搜索,但是比較遺憾的是搜出來的文章大多都沒有附圖,即使有也不完整,為了方便自己,我花了點時間配置了一下,並記錄了整個過程,這樣下次再用的時候就可以參考了。
首先,要開啟伺服器上IPSec服務。如下圖所示:
然後,到控制面板的管理工具中開啟本地安全策略。如下圖所示:
在開啟的介面中,選擇“IP安全策略,在本地計算機”,然後點選右鍵,選擇“建立IP安全策略”。如下圖所示:
在IP安全策略嚮導中,建立一個“Port 3306”的策略,因為是MySQL用的。如下如所示:
建立完畢後,回到“IP安全策略,在本地計算機”,選擇“管理IP篩選器表和篩選器操作。如下圖所示:
新建一個IP篩選器,如下圖所示。
首先指定IP的源地址,也就是你允許訪問DB的IP的地址。如下圖所示:
在建立目標地址,也就是Server本身的地址。如下圖所示:
選擇協議型別。如下圖所示:
在選擇協議IP埠,如下圖所示:
接著再新增IP篩選器操作,因為之前已經添加了IP,現在就要新增一個行為去規範IP的操作,是允許還是阻止這個IP訪問Server。如下圖所示:
同樣,首先增加篩選器操作名稱,如下圖所示:
再設定篩選器操作的行為,設定為允許,如下圖所示。
以上這些都設定好之後,就可以建立規則了,也就是一個IP策略對應一個篩選器,你可以建一個IP,允許這個IP策略訪問Server,還可以建立一個IP策略,阻止它訪問Server,這樣就可以實現IP的安全訪問控制了。如下圖所示:
先選擇IP篩選器列表,如下圖所示:
再IP篩選器操作,如下圖所示:
好了,到目前為止,我們已經建立了一個IP策略,這個策略允許192.168.0.3訪問Server的3306埠,然後我們再設定一個IP策略,阻止所有的IP訪問Server的3306埠,這樣Server的3306埠僅供192.168.0.3訪問。如下圖所示:
現在所有的策略都建好了,但還差最後一步,就是使這個策略其作用,也就是要指派,都則是不會起作用的。如下圖所示:
好了,現在安全訪問控制就實現了,雖然比較麻煩,但是無需要額外的Firewall,在某些場合安全程度不高的情況下也可以使用,如果對安全性要求很高,那還是使用專業的Firewall軟硬體。