Windows通过IP安全策略实现访问过滤

Author： Chengcj
发布时间：May 27, 2020
349views
No comments
5407 words
Categories：操作系统

## 前言

为保证内网环境安全，在防火墙策略的基础上，可通过IP安全策略实现访问过滤并保证业务端口的特定访问正常。
此处以需要限制某些IP地址访问本机的3389远程桌面端口，只让两个IP可以访问本机，其余IP全部不允许为例，将以win2003系统版本说明配置步骤。
##打开组策略管理器
在win2003运行窗口中输入gpedit.msc，打开组策略管理器
![2020-05-26_202442.png](https://blog.chengcj.com/usr/uploads/2020/05/1083293014.png)

## 创建IP安全策略

1. 在组策略管理器中选择“计算机配置”->“Windows 设置”->“安全设置”->“IP安全策略”。
   ![2020-05-26_202448.png](https://blog.chengcj.com/usr/uploads/2020/05/1814358160.png)
2. 在右边窗口中右键鼠标，选择“创建IP安全策略”，在弹出的窗口中点击下一步，开始配置。
   ![2020-05-26_202453.png](https://blog.chengcj.com/usr/uploads/2020/05/2054077062.png)
3. 在名称一栏中，输入“3389远程桌面服务过滤”，也可以输入其它名称，点击下一步继续。
   ![2020-05-26_202459.png](https://blog.chengcj.com/usr/uploads/2020/05/451841823.png)
4. 将“激活默认响应规则”前面的钩去除，点击下一步继续。
   ![2020-05-26_202505.png](https://blog.chengcj.com/usr/uploads/2020/05/2370186711.png)
5. 编辑属性打钩，点击完成。
   ![2020-05-26_202509.png](https://blog.chengcj.com/usr/uploads/2020/05/509944274.png)
6. 在弹出的对话框中选择“添加”。
   ![2020-05-26_202545.png](https://blog.chengcj.com/usr/uploads/2020/05/2857086839.png)
7. 在“IP筛选器列表”选项中，选择“添加”。
   ![2020-05-26_202555.png](https://blog.chengcj.com/usr/uploads/2020/05/2034595826.png)
8. 在弹出的对话框中，名称一栏中输入“允许3389远程桌面IP列表”，再将“使用添加向导”前的钩去除，最后再点击添加按扭。
   ![2020-05-26_202601.png](https://blog.chengcj.com/usr/uploads/2020/05/3110214071.png)
9. 由于我们需要实现的功能为：让一台主机可以访问本机的3389远程桌面服务，其余方地址全部阻止，所以这里源地址选择“一个特定的IP地址”，再输入一个可以访问本机的源IP，本案例为192.200.200.90，目标地址选择“我的IP地址”，镜像前面的钩去除。
   ![2020-05-26_202605.png](https://blog.chengcj.com/usr/uploads/2020/05/1247026385.png)
   10、再配置第二个选项栏——“协议”，选择TCP，协议端口设置为从任意端口至3389端口，然后点击确定完成配置。
   ![2020-05-26_202611.png](https://blog.chengcj.com/usr/uploads/2020/05/49831680.png)
   11、完成后，再使用相同的方法，配置一个“阻止3389远程桌面IP列表”。
   ![2020-05-26_202616.png](https://blog.chengcj.com/usr/uploads/2020/05/402060046.png)
   12、由于本IP列表是要阻止所有的远程桌面连接，所以源地址选择“任何IP地址”，目的IP还是选择“我的IP地址”，镜像前面的钩去除。
   ![2020-05-26_202640.png](https://blog.chengcj.com/usr/uploads/2020/05/1462035421.png)
   13、协议选项栏配置如下图所示，类型为TCP，端口还是任意至3389。
   ![2020-05-26_202646.png](https://blog.chengcj.com/usr/uploads/2020/05/3589576075.png)
   14、完成创建后，“IP筛选器列表”中，就会多出两个IP列表，接着开始配置“筛选器操作”选项卡。
   ![2020-05-26_202652.png](https://blog.chengcj.com/usr/uploads/2020/05/1238463303.png)
   15、选择“筛选器操作”选项卡，这里，也需要添加两个操作，一个为允许动作的操作，另一个为阻止动作的操作，首先添加一个允许动作的操作列表，选择“添加”按扭。
   ![2020-05-26_202657.png](https://blog.chengcj.com/usr/uploads/2020/05/323633281.png)
   16、安全措施中选择“许可”。
   ![2020-05-26_202704.png](https://blog.chengcj.com/usr/uploads/2020/05/2252321017.png)
   17、常规选项卡中，给这个操作起个名称，这里为“允许访问动作”，点击确定完成。
   ![2020-05-26_202711.png](https://blog.chengcj.com/usr/uploads/2020/05/1618377269.png)
   18、再添加一个阻止动作的操作列表，安全措施选择阻止选项。
   ![2020-05-26_202716.png](https://blog.chengcj.com/usr/uploads/2020/05/2094692874.png)
   19、常规选项卡中起一个名称，这里为“阻止访问动作“，点击确定完成添加。
   ![2020-05-26_202722.png](https://blog.chengcj.com/usr/uploads/2020/05/3413740770.png)
   20、完成了筛选器列表和筛选器操作的列表创建后，就可以将两者关联起来即可，将”允许3389远程桌面IP列表“与”允许访问动作“进行关联；将”阻止3389远程桌面IP列表“与”阻止访问动作“进行关联。
   ![2020-05-26_202735.png](https://blog.chengcj.com/usr/uploads/2020/05/4166526425.png)
   ##关联配置
10. IP筛选器列表中，选中“允许3389远程桌面IP列表”，即允许两字前圆圈中有个小黑点，切换至筛选器操作选项栏，选中“允许访问动作”，最后点击“应用”按扭。
    ![2020-05-26_202742.png](https://blog.chengcj.com/usr/uploads/2020/05/168108086.png)
11. 使用同样的办法，IP筛选器列表中，选中“阻止3389远程桌面IP列表”，筛选器操作选项栏中，选中“允许访问动作”
    ![2020-05-26_202749.png](https://blog.chengcj.com/usr/uploads/2020/05/3388062914.png)
12. 完成后，就会有两个IP安全规则。
    ![2020-05-26_202755.png](https://blog.chengcj.com/usr/uploads/2020/05/3650005398.png)
13. 最后，鼠标右键新建的”3389远程桌面服务过滤“，选择”指派“，规则即生效，这样配置后，只有IP为192.200.200.90的主机可以远程桌面此服务器，其余IP全部不允许。
    ![2020-05-26_202800.png](https://blog.chengcj.com/usr/uploads/2020/05/1494972896.png)

[1]: https://blog.chengcj.com/usr/uploads/2020/05/1083293014.png
[2]: https://blog.chengcj.com/usr/uploads/2020/05/1814358160.png
[3]: https://blog.chengcj.com/usr/uploads/2020/05/2054077062.png
[4]: https://blog.chengcj.com/usr/uploads/2020/05/451841823.png
[5]: https://blog.chengcj.com/usr/uploads/2020/05/2370186711.png
[6]: https://blog.chengcj.com/usr/uploads/2020/05/509944274.png
[7]: https://blog.chengcj.com/usr/uploads/2020/05/2857086839.png
[8]: https://blog.chengcj.com/usr/uploads/2020/05/2034595826.png
[9]: https://blog.chengcj.com/usr/uploads/2020/05/3110214071.png
[10]: https://blog.chengcj.com/usr/uploads/2020/05/1247026385.png
[11]: https://blog.chengcj.com/usr/uploads/2020/05/49831680.png
[12]: https://blog.chengcj.com/usr/uploads/2020/05/402060046.png
[13]: https://blog.chengcj.com/usr/uploads/2020/05/1462035421.png
[14]: https://blog.chengcj.com/usr/uploads/2020/05/3589576075.png
[15]: https://blog.chengcj.com/usr/uploads/2020/05/1238463303.png
[16]: https://blog.chengcj.com/usr/uploads/2020/05/323633281.png
[17]: https://blog.chengcj.com/usr/uploads/2020/05/2252321017.png
[18]: https://blog.chengcj.com/usr/uploads/2020/05/1618377269.png
[19]: https://blog.chengcj.com/usr/uploads/2020/05/2094692874.png
[20]: https://blog.chengcj.com/usr/uploads/2020/05/3413740770.png
[21]: https://blog.chengcj.com/usr/uploads/2020/05/4166526425.png
[22]: https://blog.chengcj.com/usr/uploads/2020/05/168108086.png
[23]: https://blog.chengcj.com/usr/uploads/2020/05/3388062914.png
[24]: https://blog.chengcj.com/usr/uploads/2020/05/3650005398.png
[25]: https://blog.chengcj.com/usr/uploads/2020/05/1494972896.png

Last modification：July 23rd, 2020 at 04:46 am