前言

为保证内网环境安全，在防火墙策略的基础上，可通过IP安全策略实现访问过滤并保证业务端口的特定访问正常。
此处以需要限制某些IP地址访问本机的3389远程桌面端口，只让两个IP可以访问本机，其余IP全部不允许为例，将以win2003系统版本说明配置步骤。

打开组策略管理器

在win2003运行窗口中输入gpedit.msc，打开组策略管理器

创建IP安全策略

1. 在组策略管理器中选择“计算机配置”->“Windows 设置”->“安全设置”->“IP安全策略”。
   
2. 在右边窗口中右键鼠标，选择“创建IP安全策略”，在弹出的窗口中点击下一步，开始配置。
   
3. 在名称一栏中，输入“3389远程桌面服务过滤”，也可以输入其它名称，点击下一步继续。
   
4. 将“激活默认响应规则”前面的钩去除，点击下一步继续。
   
5. 编辑属性打钩，点击完成。
   
6. 在弹出的对话框中选择“添加”。
   
7. 在“IP筛选器列表”选项中，选择“添加”。
   
8. 在弹出的对话框中，名称一栏中输入“允许3389远程桌面IP列表”，再将“使用添加向导”前的钩去除，最后再点击添加按扭。
   

9. 由于我们需要实现的功能为：让一台主机可以访问本机的3389远程桌面服务，其余方地址全部阻止，所以这里源地址选择“一个特定的IP地址”，再输入一个可以访问本机的源IP，本案例为192.200.200.90，目标地址选择“我的IP地址”，镜像前面的钩去除。
   
   10、再配置第二个选项栏——“协议”，选择TCP，协议端口设置为从任意端口至3389端口，然后点击确定完成配置。
   
   11、完成后，再使用相同的方法，配置一个“阻止3389远程桌面IP列表”。
   
   12、由于本IP列表是要阻止所有的远程桌面连接，所以源地址选择“任何IP地址”，目的IP还是选择“我的IP地址”，镜像前面的钩去除。
   
   13、协议选项栏配置如下图所示，类型为TCP，端口还是任意至3389。
   
   14、完成创建后，“IP筛选器列表”中，就会多出两个IP列表，接着开始配置“筛选器操作”选项卡。
   
   15、选择“筛选器操作”选项卡，这里，也需要添加两个操作，一个为允许动作的操作，另一个为阻止动作的操作，首先添加一个允许动作的操作列表，选择“添加”按扭。
   
   16、安全措施中选择“许可”。
   
   17、常规选项卡中，给这个操作起个名称，这里为“允许访问动作”，点击确定完成。
   
   18、再添加一个阻止动作的操作列表，安全措施选择阻止选项。
   
   19、常规选项卡中起一个名称，这里为“阻止访问动作“，点击确定完成添加。
   
   20、完成了筛选器列表和筛选器操作的列表创建后，就可以将两者关联起来即可，将”允许3389远程桌面IP列表“与”允许访问动作“进行关联；将”阻止3389远程桌面IP列表“与”阻止访问动作“进行关联。
   

   关联配置

10. IP筛选器列表中，选中“允许3389远程桌面IP列表”，即允许两字前圆圈中有个小黑点，切换至筛选器操作选项栏，选中“允许访问动作”，最后点击“应用”按扭。
    
11. 使用同样的办法，IP筛选器列表中，选中“阻止3389远程桌面IP列表”，筛选器操作选项栏中，选中“允许访问动作”
    
12. 完成后，就会有两个IP安全规则。
    
13. 最后，鼠标右键新建的”3389远程桌面服务过滤“，选择”指派“，规则即生效，这样配置后，只有IP为192.200.200.90的主机可以远程桌面此服务器，其余IP全部不允许。