利用Window自带Ipsec安全策略对服务器进行安全加固

说明:所有服务器上操作,请谨慎操作。确定后再次进行实施!仅仅是保护线路上的安全,以及网站被攻击后,客户端无法远程。

Ipsec安全策略

方法:设置安全策略。采用window的IPSec进行防护。允许80 3306端口。拒绝所有其他端口连接。

1:控制面板-系统和安全-管理工具-本地安全策略

打开本地安全策略。默认是没有的。这里我已经添加一个策略。

右键属性,直接点击添加

需要注意,该安全策略的排序方法是以英文字母数字类型来排序的。a开头在下边(首次不设置为拒绝,只允许)

鉴于是客户端访问固定服务器。所以我们这里直接默认

网络类型,我们采用所有网络连接

直接点击添加。这样就开始添加。Ip筛选器列表中可以添一个熟悉的名称。

点击添加

下一步的时候我们看到这里便是用来写描述的。勾选镜像

下一步后我们看到的是ip流量的来源。这里我们根据情况,我们提供的是web的服务。所以,我们允许所有ip即 源地址选择任何ip地址

下一步后,需要选择目标地址,因为我们需要明白的是客户端访问我们这台提供web服务的server。所以我们直接选择我的IP地址

因为是http服务,所以选择tcp,然后点击下一步。到协议端口设置

根据信息,是从客户端请求本服务器的80端口。所以这个地方选择,到此端口。点击完成。

这样一个ip筛选器就建立完毕。

全部建立完毕,我们选择其中一个,

点击下一步。进行设置筛选器的操作方式,(我之前已经添加过)这里我们点击添加

进入筛选器名称创建,因为是80端口。所以我们这里命名无条件允许

点击下一步后。可以选择的操作行为选项有3个。许可阻止和协商安全。我们直接选择许可

点击完成。。。返回到当前安全规则向导页面,我们选中我们建立的允许方法,

点击下一步完成,继而返回,我们继续添加需要的列表。在IP筛选列表页面。我们接着选择其他端口。继续刚才的行为设置。全部完成后点击确定。

以上设置的时我们常见的服务,(例如提供到公网上的web。或者某些固定公开端口)

访问规则

我们接下来就开始设置,固定的访问规则,例如网站数据库分开的情况。

那么我们需要了解的就是3306是固定机器访问固定机器,其他任何人没有权限不能访问该端口。服务器提供的80端口是公开的,我们80端口就按照上边所属进行设置即可。

来看我们3306如何设置固定访问端口:

在ip筛选器列表中,点击添加

写好名称。然后点击添加-下一步,设置描述信息-设置ip流量源。

因为网站是请求端,而数据库服务器是目标。所以这里我们设置我们自己的IP地址

点击下一步,我们开始设置目标地址。选择一个特定的ip地址或者子网。我们选择个ip地址

点击下一步,选择协议为tcp协议 端口为3306 点击完成。到ip筛选器列表我们点击确定,返回到选择界面。选择我们当前设置的3306筛选器,点击下一步,创建安全规则向导的操作。

点击添加,我们这次选择,协商安全。点击下一步

完成后。我们在安全规则页面。选中我们写的协商选项

我们在身份验证方法中。设置字符串保护方法

至此,全部完成。我们点击策略规则 右键 选择分配。这样就ok了。千万千万不要忘记,最后设置w开头的拒绝策略。来自所有的,到本server的。所有协议,拒绝!。

结果:仅仅网页访问正常,远程调用数据库可以进行。

隐性绕过方案:从网页上出现的问题入手。渗透进去后得到shell 导出文件。本地下载到,然后进行修改。

针对类型:一般性hacker攻击。防止cain

小编点评: 文章属于内容较为简单,不过加上了详细的图解还是具有一定的科普性与操作性的,适合对安全加固访问没有什么基础的网管朋友。

(0)

相关推荐

  • 阿里云linux服务器上使用iptables设置安全策略的方法

    公司的产品一直运行在云服务器上,从而有幸接触过aws的ec2,盛大的云服务器,最近准备有使用阿里云的弹性计算(云服务器).前两种云服务器在安全策略这块做的比较好,提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器,安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好可以使用yum来安装,安装命令如下: yum install -y iptables iptables安装好后就可以来配置规则了.由于作为web服务器来使用,所以对外

  • 服务器安全之手把手教你如何做IP安全策略

    安全策略 IP安全策略,简单的来说就是可以通过做相应的策略来达到放行.阻止相关的端口:放行.阻止相关的IP,如何做安全策略,小编为大家详细的写了相关的步骤: 解说步骤:阻止所有: 打开本地安全策略: 开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略 弹出来的窗口中,右击IP安全策略,在本地计算机 1. 创建IP安全策略: 2. 进入配置向导:直接下一步 3. 直接就命名:IP 安全策略,然后下一步 4. "激活默认响应规则"不要勾上,不要勾上,直接下一步 5.

  • win2003服务器安全设置之 IP安全策略

    服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 T

  • 服务器安全策略 IP安全策略设置方法

    协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TC

  • win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明

    第一种方法:通过iis中的ip地址和域名限制在需要设置的网站上 > 右键属性 > 目录安全性 ip地址和域名限制 授权访问与拒绝访问说明如果是授权访问,下面填写的就是拒绝访问的ip 如果是拒绝访问 下面填写的就是可以访问的ip 第二种方法:通过ip安全策略第一步:打开开始,程序,管理工具,本地安全策略 第二步:点"IP安全策略,在本地计算机",然后在右栏空白处点右键,在弹出的菜单中点"创建IP安全策略(C)" 第三步:在"IP安全策略向导&qu

  • win2008 R2设置IP安全策略后在服务器内打开网站很慢或无法访问外部网站的原因

    win2008R2设置IP安全策略后在服务器内打开网站很慢速度只有几KB的原因 是因为IP安全策略中的关闭策略中设置了原地址"任何IP"到目标地址"任何IP"的UDP任何端口都关闭: 修改为原地址"我的IP地址"到目标地址"任何IP"的UDP任何端口都关闭,再开放53端口的UDP,我的IP到DNS的IP就可以了!这个是为了解析域名用的! 操作思路:禁止所有用户访问1433端口,只允许个别IP访问.(安全策略里面允许的优先级大于

  • 服务器安全设置之-本地安全策略设置

    也可以运行中输入gpedit.msc进入 计算机配置→windows设置→安全设置→本地策略 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单->管理工具->本地安全策略 A.本地策略-->审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B.本地策略-->

  • win服务器防止安全策略或防火墙配置错误而导致远程无法连接的bat

    我们很多时候需要通过远程桌面登录到服务器上去配置安全策略或者防火墙,这是一件很危险的工作.因为一旦某个设置有误,或者漏掉了某个操作步骤,就会导致服务器无法远程连接.如果是托管在IDC机房的服务器,那还需要联系服务商去处理,还得把密码给服务商让他们进系统去停止安全策略或防火墙.总之,风险极大! 实在读一些牛人的文章的时候,就已经有人提出了这样一种思路:做一个定时任务,10分钟触发一下,把安全策略服务或防火墙服务停止掉.这样,即使是你配置错了,远程无法连接了,大不了在外面等几分钟.等时间一到,服务被

  • 利用Window自带Ipsec安全策略对服务器进行安全加固

    说明:所有服务器上操作,请谨慎操作.确定后再次进行实施!仅仅是保护线路上的安全,以及网站被攻击后,客户端无法远程. Ipsec安全策略 方法:设置安全策略.采用window的IPSec进行防护.允许80 3306端口.拒绝所有其他端口连接. 1:控制面板-系统和安全-管理工具-本地安全策略 打开本地安全策略.默认是没有的.这里我已经添加一个策略. 右键属性,直接点击添加 需要注意,该安全策略的排序方法是以英文字母数字类型来排序的.a开头在下边(首次不设置为拒绝,只允许) 鉴于是客户端访问固定服务

  • 利用discuz自带通行证整合dedecms的方法以及文件下载

    整合discuz的通行证:利用discuz自带通行证整合dede的方法以及文件下载 首先感谢柏拉图提供这么好的免费程序在论坛上看到大家很多都想整合discuz.我想柏拉图肯定会弄一个非常完善的dede的通行证.在没有出来之前我们就用discuz自带的通行证吧.个人看了一下还是非常不错的.一:前提准备以及版本:dede版本:3.1 lit版,3.1正式版上测试都通过discuz版本.用的是最新的5.0版本二:主要涉及几个文件1:dede:(1)include/config_passport.php

  • window下mongodb在dos下服务器启动及连接

    1.  配置环境变量 将MongoDB的安装目录(如:D:\Program Files\mongodb\Server\3.4\bin) 添加到 path 2. 启动 mongodb服务 (在dos中操作,前提:环境变量已配置,如果没有配置环境变量,需要进入到bin目录下操作) (1) 启动本地服务 mongod.exe --dbpath mongodb的数据库路径 // 如:mongodb --dbpath D:\mongodb\db ("mongodb的数据库路径"是自定义目录) 注

  • 利用Python自带PIL库扩展图片大小给图片加文字描述的方法示例

    前言 最近的一个项目中需要在图片上添加文字,使用了OpenCV,结果发现利用opencv给图像添加文字有局限.可利用的字体类型比较少,需要安装Freetype扩展,比较复杂.而且不能用putText函数输出中文,否则就会出现乱码的情况.只好选择使用Python PIL函数库对照片进行处理,利用Python自带的PIL库扩展图片大小给图片加上文字描述,大多都是库函数调用,只是给定图片宽度后计算文字所需行数的代码需要写. 代码比较丑,but it works. 代码示例 #!/usr/bin/env

  • C#利用微软自带库进行中文繁体和简体之间转换的方法

    本文实例讲述了C#利用微软自带库进行中文繁体和简体之间转换的方法.分享给大家供大家参考.具体分析如下: 下面的代码是一个简单的转换范例,真正的核心转换语句只有一句话,其它的都是界面和数据相关的,使用前需要引用Microsoft.VisualBasic这个类库 /// <summary> /// 转繁体 /// </summary> /// <param name="sender"></param> /// <param name=&

  • C#利用Windows自带gdi32.dll实现抓取屏幕功能实例

    本文实例讲述了C#利用Windows自带gdi32.dll实现抓取屏幕功能,是C#应用程序设计中一个非常实用的功能,现分享给大家供大家参考借鉴. 具体功能代码如下: internal static void GetScreenShot( ) { //获得当前屏幕的大小 Rectangle rect = new Rectangle(); rect = Screen.AllScreens[0].WorkingArea; //计算图片的大小,因为图片的长和宽有可能超过目前屏幕的大小 //创建一个以当前

  • 利用win10自带虚拟机hyper-v安装centos7方法详解

    一.安装win10企业版自带虚拟机 hyper-v 1.控制面板-->程序和功能-->启用或关闭Windows功能 勾上 hyper-v 确定就ok了 2.安装成功后会发现在 左下角"开始"菜单里的"Windows 管理工具" 中出现"hyper-v管理器" 打开hyper-v管理器,首先新建"虚拟交换机" 以便虚拟系统访问网络. 虚拟交换机 创建完成后,接下来我们创建 虚拟机. 这边根据需要选择第一代还是第二代.

  • JS利用window.print()实现网页打印功能

    目录 前言 一.print()方法 二.打印样式 1.使用打印样式表 2.使用媒介查询 3.内联样式使用media属性 4.在css中使用@import引入打印样式表 三.打印指定区域部分内容 1.方法一 2.方法二 3.方法三 四.强制插入分页 五.设置打印布局(横向.纵向.边距) 六.去除浏览器默认页眉页脚 七.打印方法封装 前言 print作为浏览已经比较成熟的技术可以经常被用来打印页面的部分内容,我们可以在MDN上查看到相关的简单介绍. 一.print()方法 print() 方法用于打

  • 利用Java实现带GUI的气泡诗词特效

    目录 实现效果 示例代码 AlgoVisualizer.java AlgoFrame.java Circle.java AlgoVisHelper.java 实现效果 实现第个气泡中心显示一个字,在框中随意运动,用空格键按下运行停止,再按下左键运动继续.用鼠标左键按下选中的圆变为填充的,再次按下又变为不填充的.参考:https://github.com/liuyubobobo/ 示例代码 AlgoVisualizer.java import java.awt.*; import java.awt

  • Linux下PHP网站服务器安全配置加固防护方法【推荐】

    PHP被广泛用于各种Web开发.而当服务器端脚本配置错误时会出现各种问题.现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等). 本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全.mysql数据库安全.web服务器安全.木马查杀和防范等,很好很强大很安全.(如果需要深入的安全部署建议找专业做安全的国内公司如:Sinesafe,绿盟,启明星辰等等都是比较不错的专业做网站安全的公司) PHP安全配置 1. 确保运行php的用户为一般用户,如

随机推荐