说明：所有服务器上操作，请谨慎操作。确定后再次进行实施！仅仅是保护线路上的安全，以及网站被攻击后，客户端无法远程。 Ipsec安全策略 方法：设置安全策略。采用window的IPSec进行防护。允许80 3306端口。拒绝所有其他端口连接。 1：控制面板-系统和安全-管理工具-本地安全策略 [img]http://files.jb51.net/file_images/article/201704/201704232313521.jpg[/img] 打开本地安全策略。默认是没有的。这里我已经添加一个策略。 [img]http://files.jb51.net/file_images/article/201704/201704232313532.jpg[/img] 右键属性，直接点击添加 [img]http://files.jb51.net/file_images/article/201704/201704232313533.jpg[/img] 需要注意，该安全策略的排序方法是以英文字母数字类型来排序的。a开头在下边（首次不设置为拒绝，只允许） [img]http://files.jb51.net/file_images/article/201704/201704232313534.jpg[/img] 鉴于是客户端访问固定服务器。所以我们这里直接默认 [img]http://files.jb51.net/file_images/article/201704/201704232313535.jpg[/img] 网络类型，我们采用所有网络连接 [img]http://files.jb51.net/file_images/article/201704/201704232313536.jpg[/img] 直接点击添加。这样就开始添加。Ip筛选器列表中可以添一个熟悉的名称。 [img]http://files.jb51.net/file_images/article/201704/201704232313537.jpg[/img] 点击添加 [img]http://files.jb51.net/file_images/article/201704/201704232313538.jpg[/img] 下一步的时候我们看到这里便是用来写描述的。勾选镜像 [img]http://files.jb51.net/file_images/article/201704/201704232313539.jpg[/img] 下一步后我们看到的是ip流量的来源。这里我们根据情况，我们提供的是web的服务。所以，我们允许所有ip即 源地址选择任何ip地址 [img]http://files.jb51.net/file_images/article/201704/2017042323135310.jpg[/img] 下一步后，需要选择目标地址，因为我们需要明白的是客户端访问我们这台提供web服务的server。所以我们直接选择我的IP地址 [img]http://files.jb51.net/file_images/article/201704/2017042323135411.jpg[/img] 因为是http服务，所以选择tcp，然后点击下一步。到协议端口设置 [img]http://files.jb51.net/file_images/article/201704/2017042323135412.jpg[/img] 根据信息，是从客户端请求本服务器的80端口。所以这个地方选择，到此端口。点击完成。 这样一个ip筛选器就建立完毕。 [img]http://files.jb51.net/file_images/article/201704/2017042323135413.jpg[/img] 全部建立完毕，我们选择其中一个， [img]http://files.jb51.net/file_images/article/201704/2017042323135414.jpg[/img] 点击下一步。进行设置筛选器的操作方式，（我之前已经添加过）这里我们点击添加 [img]http://files.jb51.net/file_images/article/201704/2017042323135415.jpg[/img] 进入筛选器名称创建，因为是80端口。所以我们这里命名无条件允许 [img]http://files.jb51.net/file_images/article/201704/2017042323135416.jpg[/img] 点击下一步后。可以选择的操作行为选项有3个。许可阻止和协商安全。我们直接选择许可 [img]http://files.jb51.net/file_images/article/201704/2017042323135417.jpg[/img] 点击完成。。。返回到当前安全规则向导页面，我们选中我们建立的允许方法， [img]http://files.jb51.net/file_images/article/201704/2017042323135418.jpg[/img] 点击下一步完成，继而返回，我们继续添加需要的列表。在IP筛选列表页面。我们接着选择其他端口。继续刚才的行为设置。全部完成后点击确定。 [img]http://files.jb51.net/file_images/article/201704/2017042323135419.jpg[/img] [img]http://files.jb51.net/file_images/article/201704/2017042323135419.jpg[/img] 以上设置的时我们常见的服务，（例如提供到公网上的web。或者某些固定公开端口） 访问规则 我们接下来就开始设置，固定的访问规则，例如网站数据库分开的情况。 那么我们需要了解的就是3306是固定机器访问固定机器，其他任何人没有权限不能访问该端口。服务器提供的80端口是公开的，我们80端口就按照上边所属进行设置即可。 来看我们3306如何设置固定访问端口： 在ip筛选器列表中，点击添加 [img]http://files.jb51.net/file_images/article/201704/2017042323135420.jpg[/img] 写好名称。然后点击添加-下一步，设置描述信息-设置ip流量源。 因为网站是请求端，而数据库服务器是目标。所以这里我们设置我们自己的IP地址 [img]http://files.jb51.net/file_images/article/201704/2017042323135421.jpg[/img] 点击下一步，我们开始设置目标地址。选择一个特定的ip地址或者子网。我们选择个ip地址 [img]http://files.jb51.net/file_images/article/201704/2017042323135422.jpg[/img] 点击下一步，选择协议为tcp协议 端口为3306 点击完成。到ip筛选器列表我们点击确定，返回到选择界面。选择我们当前设置的3306筛选器，点击下一步，创建安全规则向导的操作。 [img]http://files.jb51.net/file_images/article/201704/2017042323135423.jpg[/img] 点击添加，我们这次选择，协商安全。点击下一步 [img]http://files.jb51.net/file_images/article/201704/2017042323135424.jpg[/img] 完成后。我们在安全规则页面。选中我们写的协商选项 [img]http://files.jb51.net/file_images/article/201704/2017042323135425.jpg[/img] 我们在身份验证方法中。设置字符串保护方法 [img]http://files.jb51.net/file_images/article/201704/2017042323135526.jpg[/img] 至此，全部完成。我们点击策略规则 右键 选择分配。这样就ok了。千万千万不要忘记，最后设置w开头的拒绝策略。来自所有的，到本server的。所有协议，拒绝！。 [img]http://files.jb51.net/file_images/article/201704/2017042323135527.jpg[/img] 结果：仅仅网页访问正常，远程调用数据库可以进行。 隐性绕过方案：从网页上出现的问题入手。渗透进去后得到shell 导出文件。本地下载到，然后进行修改。 针对类型：一般性hacker攻击。防止cain [b]小编点评：[/b] 文章属于内容较为简单，不过加上了详细的图解还是具有一定的科普性与操作性的，适合对安全加固访问没有什么基础的网管朋友。