通過設(shè)置IP安全策略限制固定IP訪問
說明:
(1)以XP環(huán)境為例,步驟:先禁止所有IP,再允許固定IP訪問。
(2)配置過程中很多步驟圖是重復(fù)的,一些沒價(jià)值的圖就省略了;
(3)光看的話可能中間重復(fù)配置 安全規(guī)則和IP篩選器模塊會 看暈,但按這個步驟配置肯定沒有問題:
過程梳理:先配置安全策略——再配置IP篩選器列表——最后為這些安全策略指定 IP篩選器,指定篩選器操作即可。
(4)設(shè)置完成后注意IPSEC服務(wù) 必須為“啟動”狀態(tài)且啟動類型必須設(shè)置為“自動”,否則機(jī)器重啟后無效;
(5)擴(kuò)展:見文章最后。
1.創(chuàng)建安全策略
(1) 控制面板——管理工具——本地安全策略
————》
(2) 右鍵選擇“IP安全策略”——創(chuàng)建IP安全策略
(3) 進(jìn)入設(shè)置向?qū)В涸O(shè)置IP安全策略名稱為“限制固定IP遠(yuǎn)程訪問”——在警告提示框選擇“是”,其它均保持默認(rèn),具體參考下圖。
2.設(shè)置阻止任何IP訪問的篩選器
(1)為新添加IP安全規(guī)則添加 的安全規(guī)則屬性(和第一添加規(guī)則步驟是相同的)
(2)添加新的篩選器:在ip篩選列表選擇——添加——輸入篩選名稱——添加
(3)再進(jìn)入向?qū)Ш螅合仍O(shè)置禁止所有IP訪問——源地址:任何IP地址——目標(biāo)地址:我的IP地址——協(xié)議:TCP——到此端口輸入:3389(3389為windows遠(yuǎn)程訪問端口),其它均可保持默認(rèn),參考下圖。
(4) 完成后,會在IP篩選列表看到添加的信息。如下圖。
(5)配置IP篩選器允許的動作:在點(diǎn)確定后——選擇配置的“阻止所有IP遠(yuǎn)程訪問”,下一步——添加——選擇“阻止”——最后確定,如下圖。
注:默認(rèn)“阻止”是沒有的,只有請求安全、需要安全、允許三個選項(xiàng)。
(6)選擇篩選器操作“阻止”,下一步——完成,至此即配置好了“阻止所有IP遠(yuǎn)程訪問”的全部設(shè)置。
3.添加允許訪問的IP篩選器列表
(1) 如165.154,其中源地址需要選擇“一個特定的IP地址”,篩選器操作選擇“允許”,具體如下圖
(2)點(diǎn)確定后,回到“限制固定IP遠(yuǎn)程訪問”窗口,會出現(xiàn)如下窗口,此時(shí)需要配置一條新的IP安全規(guī)則,即允許165.154訪問的安全規(guī)則,并設(shè)置器篩選器操作,如下圖
4.驗(yàn)證已填加的規(guī)則是否正確
以165.154為例。選中“允許165.154遠(yuǎn)程訪問”選擇“編輯”——在IP篩選器窗口,選中允許165.154訪問,選擇“編輯”——在IP篩選器窗口選擇配置的記錄,選擇“編輯”,如下圖,可看到已配置的規(guī)則及篩選器操作。其它規(guī)則均可采用此方法驗(yàn)證和修改。
5.應(yīng)用配置的IP安全規(guī)則
(1)最后配置的最終結(jié)果如下圖
(2)指派此安全規(guī)則:右鍵“限制固定IP遠(yuǎn)程訪問”——選擇“指派”,至此所有工作配置完成。
擴(kuò)展:
(1)這篇文章僅限于限制一個固定IP,也可限制某一個網(wǎng)段,此時(shí)只需在配置源地址時(shí),選擇“一個特定的IP子網(wǎng)”,
則配置信息為(以165網(wǎng)段為例):
IP地址:192.168.165.0
子網(wǎng)掩碼:255.255.255.0
(2)本文章也可擴(kuò)展到某個IP或IP段 限制訪問服務(wù)器的某個端口、某個服務(wù)等
(3)win7 、win 2003 、win2008依然適用此方法
如果問題,或更好的建議請回復(fù)或聯(lián)系qq:1095419633,謝謝。
如果感覺比較麻煩可以到這里下載2008的ip安全策略的一些文件,上面的功能可以自行補(bǔ)充。