通過設(shè)置IP安全策略限制固定IP訪問
說明:
(1)以XP環(huán)境為例,步驟:先禁止所有IP��,再允許固定IP訪問。
(2)配置過程中很多步驟圖是重復(fù)的���,一些沒價(jià)值的圖就省略了�;
(3)光看的話可能中間重復(fù)配置 安全規(guī)則和IP篩選器模塊會(huì) 看暈����,但按這個(gè)步驟配置肯定沒有問題:
過程梳理:先配置安全策略——再配置IP篩選器列表——最后為這些安全策略指定 IP篩選器�,指定篩選器操作即可。
(4)設(shè)置完成后注意IPSEC服務(wù) 必須為“啟動(dòng)”狀態(tài)且啟動(dòng)類型必須設(shè)置為“自動(dòng)”,否則機(jī)器重啟后無效����;
(5)擴(kuò)展:見文章最后。
1.創(chuàng)建安全策略
(1) 控制面板——管理工具——本地安全策略
————》
(2) 右鍵選擇“IP安全策略”——?jiǎng)?chuàng)建IP安全策略
(3) 進(jìn)入設(shè)置向?qū)В涸O(shè)置IP安全策略名稱為“限制固定IP遠(yuǎn)程訪問”——在警告提示框選擇“是”�����,其它均保持默認(rèn),具體參考下圖。
2.設(shè)置阻止任何IP訪問的篩選器
(1)為新添加IP安全規(guī)則添加 的安全規(guī)則屬性(和第一添加規(guī)則步驟是相同的)
(2)添加新的篩選器:在ip篩選列表選擇——添加——輸入篩選名稱——添加
(3)再進(jìn)入向?qū)Ш螅合仍O(shè)置禁止所有IP訪問——源地址:任何IP地址——目標(biāo)地址:我的IP地址——協(xié)議:TCP——到此端口輸入:3389(3389為windows遠(yuǎn)程訪問端口)�,其它均可保持默認(rèn)���,參考下圖。
(4) 完成后�����,會(huì)在IP篩選列表看到添加的信息����。如下圖。
(5)配置IP篩選器允許的動(dòng)作:在點(diǎn)確定后——選擇配置的“阻止所有IP遠(yuǎn)程訪問”�,下一步——添加——選擇“阻止”——最后確定�����,如下圖。
注:默認(rèn)“阻止”是沒有的,只有請求安全���、需要安全、允許三個(gè)選項(xiàng)���。
(6)選擇篩選器操作“阻止”�,下一步——完成,至此即配置好了“阻止所有IP遠(yuǎn)程訪問”的全部設(shè)置����。
3.添加允許訪問的IP篩選器列表
(1) 如165.154,其中源地址需要選擇“一個(gè)特定的IP地址”����,篩選器操作選擇“允許”���,具體如下圖
(2)點(diǎn)確定后����,回到“限制固定IP遠(yuǎn)程訪問”窗口�,會(huì)出現(xiàn)如下窗口�,此時(shí)需要配置一條新的IP安全規(guī)則,即允許165.154訪問的安全規(guī)則�,并設(shè)置器篩選器操作����,如下圖
4.驗(yàn)證已填加的規(guī)則是否正確
以165.154為例���。選中“允許165.154遠(yuǎn)程訪問”選擇“編輯”——在IP篩選器窗口,選中允許165.154訪問���,選擇“編輯”——在IP篩選器窗口選擇配置的記錄���,選擇“編輯”,如下圖�,可看到已配置的規(guī)則及篩選器操作�����。其它規(guī)則均可采用此方法驗(yàn)證和修改����。
5.應(yīng)用配置的IP安全規(guī)則
(1)最后配置的最終結(jié)果如下圖
(2)指派此安全規(guī)則:右鍵“限制固定IP遠(yuǎn)程訪問”——選擇“指派”,至此所有工作配置完成���。
擴(kuò)展:
(1)這篇文章僅限于限制一個(gè)固定IP,也可限制某一個(gè)網(wǎng)段��,此時(shí)只需在配置源地址時(shí)���,選擇“一個(gè)特定的IP子網(wǎng)”����,
則配置信息為(以165網(wǎng)段為例):
IP地址:192.168.165.0
子網(wǎng)掩碼:255.255.255.0
(2)本文章也可擴(kuò)展到某個(gè)IP或IP段 限制訪問服務(wù)器的某個(gè)端口、某個(gè)服務(wù)等
(3)win7 �、win 2003 、win2008依然適用此方法
如果問題��,或更好的建議請回復(fù)或聯(lián)系qq:1095419633��,謝謝����。
如果感覺比較麻煩可以到這里下載2008的ip安全策略的一些文件,上面的功能可以自行補(bǔ)充��。
