前言

为保证内网环境安全,在防火墙策略的基础上,可通过IP安全策略实现访问过滤并保证业务端口的特定访问正常。
此处以需要限制某些IP地址访问本机的3389远程桌面端口,只让两个IP可以访问本机,其余IP全部不允许为例,将以win2003系统版本说明配置步骤。

打开组策略管理器

在win2003运行窗口中输入gpedit.msc,打开组策略管理器
2020-05-26_202442.png

创建IP安全策略

  1. 在组策略管理器中选择“计算机配置”->“Windows 设置”->“安全设置”->“IP安全策略”。
    2020-05-26_202448.png
  2. 在右边窗口中右键鼠标,选择“创建IP安全策略”,在弹出的窗口中点击下一步,开始配置。
    2020-05-26_202453.png
  3. 在名称一栏中,输入“3389远程桌面服务过滤”,也可以输入其它名称,点击下一步继续。
    2020-05-26_202459.png
  4. 将“激活默认响应规则”前面的钩去除,点击下一步继续。
    2020-05-26_202505.png
  5. 编辑属性打钩,点击完成。
    2020-05-26_202509.png
  6. 在弹出的对话框中选择“添加”。
    2020-05-26_202545.png
  7. 在“IP筛选器列表”选项中,选择“添加”。
    2020-05-26_202555.png
  8. 在弹出的对话框中,名称一栏中输入“允许3389远程桌面IP列表”,再将“使用添加向导”前的钩去除,最后再点击添加按扭。
    2020-05-26_202601.png
  9. 由于我们需要实现的功能为:让一台主机可以访问本机的3389远程桌面服务,其余方地址全部阻止,所以这里源地址选择“一个特定的IP地址”,再输入一个可以访问本机的源IP,本案例为192.200.200.90,目标地址选择“我的IP地址”,镜像前面的钩去除。
    2020-05-26_202605.png
    10、再配置第二个选项栏——“协议”,选择TCP,协议端口设置为从任意端口至3389端口,然后点击确定完成配置。
    2020-05-26_202611.png
    11、完成后,再使用相同的方法,配置一个“阻止3389远程桌面IP列表”。
    2020-05-26_202616.png
    12、由于本IP列表是要阻止所有的远程桌面连接,所以源地址选择“任何IP地址”,目的IP还是选择“我的IP地址”,镜像前面的钩去除。
    2020-05-26_202640.png
    13、协议选项栏配置如下图所示,类型为TCP,端口还是任意至3389。
    2020-05-26_202646.png
    14、完成创建后,“IP筛选器列表”中,就会多出两个IP列表,接着开始配置“筛选器操作”选项卡。
    2020-05-26_202652.png
    15、选择“筛选器操作”选项卡,这里,也需要添加两个操作,一个为允许动作的操作,另一个为阻止动作的操作,首先添加一个允许动作的操作列表,选择“添加”按扭。
    2020-05-26_202657.png
    16、安全措施中选择“许可”。
    2020-05-26_202704.png
    17、常规选项卡中,给这个操作起个名称,这里为“允许访问动作”,点击确定完成。
    2020-05-26_202711.png
    18、再添加一个阻止动作的操作列表,安全措施选择阻止选项。
    2020-05-26_202716.png
    19、常规选项卡中起一个名称,这里为“阻止访问动作“,点击确定完成添加。
    2020-05-26_202722.png
    20、完成了筛选器列表和筛选器操作的列表创建后,就可以将两者关联起来即可,将”允许3389远程桌面IP列表“与”允许访问动作“进行关联;将”阻止3389远程桌面IP列表“与”阻止访问动作“进行关联。
    2020-05-26_202735.png

    关联配置

  10. IP筛选器列表中,选中“允许3389远程桌面IP列表”,即允许两字前圆圈中有个小黑点,切换至筛选器操作选项栏,选中“允许访问动作”,最后点击“应用”按扭。
    2020-05-26_202742.png
  11. 使用同样的办法,IP筛选器列表中,选中“阻止3389远程桌面IP列表”,筛选器操作选项栏中,选中“允许访问动作”
    2020-05-26_202749.png
  12. 完成后,就会有两个IP安全规则。
    2020-05-26_202755.png
  13. 最后,鼠标右键新建的”3389远程桌面服务过滤“,选择”指派“,规则即生效,这样配置后,只有IP为192.200.200.90的主机可以远程桌面此服务器,其余IP全部不允许。
    2020-05-26_202800.png
Last modification:July 23rd, 2020 at 04:46 am