通過設(shè)置IP安全策略限制固定IP訪問

說明：

（1）以XP環(huán)境為例，步驟：先禁止所有IP，再允許固定IP訪問。

（2）配置過程中很多步驟圖是重復(fù)的，一些沒價值的圖就省略了；

（3）光看的話可能中間重復(fù)配置  安全規(guī)則和IP篩選器模塊會 看暈，但按這個步驟配置肯定沒有問題：

過程梳理：先配置安全策略——再配置IP篩選器列表——最后為這些安全策略指定 IP篩選器，指定篩選器操作即可。

（4）設(shè)置完成后注意IPSEC服務(wù) 必須為“啟動”狀態(tài)且啟動類型必須設(shè)置為“自動”，否則機(jī)器重啟后無效；

（5）擴(kuò)展：見文章最后。

1.創(chuàng)建安全策略

(1)    控制面板——管理工具——本地安全策略

————》

(2)    右鍵選擇“IP安全策略”——創(chuàng)建IP安全策略

(3)    進(jìn)入設(shè)置向?qū)В涸O(shè)置IP安全策略名稱為“限制固定IP遠(yuǎn)程訪問”——在警告提示框選擇“是”，其它均保持默認(rèn)，具體參考下圖。

2.設(shè)置阻止任何IP訪問的篩選器

（1）為新添加IP安全規(guī)則添加 的安全規(guī)則屬性（和第一添加規(guī)則步驟是相同的）

（2）添加新的篩選器：在ip篩選列表選擇——添加——輸入篩選名稱——添加

（3）再進(jìn)入向?qū)Ш螅合仍O(shè)置禁止所有IP訪問——源地址：任何IP地址——目標(biāo)地址：我的IP地址——協(xié)議：TCP——到此端口輸入：3389（3389為windows遠(yuǎn)程訪問端口），其它均可保持默認(rèn)，參考下圖。

（4） 完成后，會在IP篩選列表看到添加的信息。如下圖。

（5）配置IP篩選器允許的動作：在點確定后——選擇配置的“阻止所有IP遠(yuǎn)程訪問”，下一步——添加——選擇“阻止”——最后確定，如下圖。

注：默認(rèn)“阻止”是沒有的，只有請求安全、需要安全、允許三個選項。

（6）選擇篩選器操作“阻止”，下一步——完成，至此即配置好了“阻止所有IP遠(yuǎn)程訪問”的全部設(shè)置。

3.添加允許訪問的IP篩選器列表

（1） 如165.154，其中源地址需要選擇“一個特定的IP地址”，篩選器操作選擇“允許”，具體如下圖

（2）點確定后，回到“限制固定IP遠(yuǎn)程訪問”窗口，會出現(xiàn)如下窗口，此時需要配置一條新的IP安全規(guī)則，即允許165.154訪問的安全規(guī)則，并設(shè)置器篩選器操作，如下圖

4.驗證已填加的規(guī)則是否正確

以165.154為例。選中“允許165.154遠(yuǎn)程訪問”選擇“編輯”——在IP篩選器窗口，選中允許165.154訪問，選擇“編輯”——在IP篩選器窗口選擇配置的記錄，選擇“編輯”，如下圖，可看到已配置的規(guī)則及篩選器操作。其它規(guī)則均可采用此方法驗證和修改。

5.應(yīng)用配置的IP安全規(guī)則

（1）最后配置的最終結(jié)果如下圖

（2）指派此安全規(guī)則：右鍵“限制固定IP遠(yuǎn)程訪問”——選擇“指派”，至此所有工作配置完成。

擴(kuò)展：

（1）這篇文章僅限于限制一個固定IP，也可限制某一個網(wǎng)段，此時只需在配置源地址時，選擇“一個特定的IP子網(wǎng)”，

則配置信息為（以165網(wǎng)段為例）：

IP地址：192.168.165.0

子網(wǎng)掩碼：255.255.255.0

（2）本文章也可擴(kuò)展到某個IP或IP段 限制訪問服務(wù)器的某個端口、某個服務(wù)等

（3）win7 、win 2003 、win2008依然適用此方法

如果問題，或更好的建議請回復(fù)或聯(lián)系qq：1095419633，謝謝。

如果感覺比較麻煩可以到這里下載2008的ip安全策略的一些文件，上面的功能可以自行補充。

最新評論