如何設(shè)置IP安全策略，只允許特定IP訪問服務(wù)器

03系統(tǒng)例舉

創(chuàng)新互聯(lián)公司專注于綠春網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供綠春營銷型網(wǎng)站建設(shè)，綠春網(wǎng)站制作、綠春網(wǎng)頁設(shè)計(jì)、綠春網(wǎng)站官網(wǎng)定制、微信平臺(tái)小程序開發(fā)服務(wù)，打造綠春網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供綠春網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

01.首先打開控制面板，進(jìn)入“管理工具”，然后雙擊打開“本地安全策略”

02.使用鼠標(biāo)右鍵單擊左方的“ip

安全策略，在

本地計(jì)算機(jī)”選項(xiàng)，并選擇“創(chuàng)建

ip

安全策略”選項(xiàng)

03.點(diǎn)擊“下一步”按鈕

04.設(shè)置一個(gè)ip策略名稱，例如設(shè)置為“端口限制策略”，使用其它名稱也可以

05.點(diǎn)擊“下一步”按鈕

06.去掉“激活默認(rèn)響應(yīng)規(guī)則”選項(xiàng)的勾

07.點(diǎn)擊“下一步”按鈕

08.點(diǎn)擊“完成”按鈕

09.去掉右導(dǎo)”選項(xiàng)的勾

10.現(xiàn)在先開始添止所有機(jī)器訪問服務(wù)器，點(diǎn)擊“添加”按鈕

11.點(diǎn)擊“添加”按鈕

12.設(shè)置ip篩選器的名稱，例如設(shè)置為“禁止所有機(jī)器訪問服務(wù)器”，使用其它名稱也可以

13.點(diǎn)擊“添加”按鈕

14.如果該服務(wù)器不打算上網(wǎng)，則可以將“源地址”設(shè)置為“任何

ip

地址”。如果需要上網(wǎng)，建議設(shè)置為“一個(gè)特定的

ip

子網(wǎng)”，并設(shè)置ip地址為與該服務(wù)器ip地址相同的網(wǎng)段，例如服務(wù)器ip地址是192.168.1.10，則可以設(shè)置為192.168.1.0，也就是前面3個(gè)數(shù)字是相同的，后面最后一位填1即可，并設(shè)置子網(wǎng)掩碼，這個(gè)設(shè)置和服務(wù)器子網(wǎng)掩碼一致即可（具體請自行查看服務(wù)器的子網(wǎng)掩碼），如果局域網(wǎng)都是在192.168.1.*的范圍，則直接設(shè)置為255.255.255.0即可

15.將“目標(biāo)地址”設(shè)置為“我的

ip

地址”

16.點(diǎn)擊“確定”按鈕

17.點(diǎn)擊“確定”按鈕

18.選擇剛創(chuàng)建的ip篩選器（即12步中設(shè)置的名稱）

19.切換到“篩選器操作”選項(xiàng)頁

20.去掉“使用添加向?qū)А边x項(xiàng)的勾

21.點(diǎn)擊“添加”按鈕

22.選擇“阻止”選項(xiàng)

23.切換到“常規(guī)”選項(xiàng)頁

24.設(shè)置篩選器操作名稱，建議設(shè)置為“禁止”或“阻止”，使用其它名稱也可以

25.點(diǎn)擊“確定”按鈕

26.選擇剛創(chuàng)建的篩選器操作（即24步設(shè)置的名稱）

27.點(diǎn)擊“應(yīng)用”按鈕

28.點(diǎn)擊“確定”按鈕

29.現(xiàn)在開始添加允許訪問該服務(wù)器的機(jī)器，點(diǎn)擊“添加”按鈕

30.點(diǎn)擊“添加”按鈕

31.設(shè)置ip篩選器名稱，建議設(shè)置為“允許訪問的機(jī)器”，使用其它名稱也可以

32.點(diǎn)擊“添加”按鈕

33.將“源地址”設(shè)置為“一個(gè)特定的

ip

地址”，并設(shè)置下方的ip地址為允許訪問該服務(wù)器的ip中的一個(gè)（每次只能添加一個(gè)，所以需要慢慢添加）

34.設(shè)置“目標(biāo)地址”為“我的

ip

地址”

35.點(diǎn)擊“確定”按鈕

36.重復(fù)32至35步將要允許訪問該服務(wù)器的ip全部添加

37.點(diǎn)擊“確定”按鈕

38.選擇剛創(chuàng)建的“ip

篩選器”（即31步設(shè)置的名稱）

39.切換到“篩選器操作”選項(xiàng)頁

40.選擇“許可”選項(xiàng)

41.點(diǎn)擊“應(yīng)用”按鈕

42.點(diǎn)擊“確定”按鈕

43.點(diǎn)擊“確定”按鈕

44.使用鼠標(biāo)右鍵單擊剛創(chuàng)建的ip策略（即第4步設(shè)置的名稱），并選擇“指派”即可

45.以后需要添加、修改、刪除允許訪問的ip時(shí)，可以編輯該ip策略的ip篩選器進(jìn)行設(shè)置

注意：需要注意的是并非設(shè)置了ip策略后就能100%保證其它機(jī)器無法訪問服務(wù)器，因?yàn)槿绻酥滥试S哪個(gè)ip訪問該服務(wù)器，對方可以修改自己的ip地址，以獲得訪問權(quán)限ip，這樣您的策略就失效了。因此您可能還需要在服務(wù)器上綁定允許訪問該服務(wù)器的ip地址的mac地址（可以使用arp

-s命令來綁定），并在路由器中對這些ip綁定mac地址。不過對方也可以修改mac地址來獲取訪問權(quán)限，因此使用ip安全策略并非絕對安全。

本機(jī)的IP安全策略、安全選項(xiàng)

如何啟用本地IPSec安全策略

方法一：利用MMC控制臺(tái)

第一步：點(diǎn)擊“開始→運(yùn)行”，在運(yùn)行對話框中輸入“MMC”，點(diǎn)擊“確定”按鈕后，啟動(dòng)“控制臺(tái)”窗口。

第二步：點(diǎn)擊“控制臺(tái)”菜單中的“文件→添加/刪除管理單元”選項(xiàng)，彈出“添加/刪除管理單元”對話框，點(diǎn)擊“獨(dú)立”標(biāo)簽頁的“添加”按鈕，彈出“添加獨(dú)立管理單元”對話框。

第三步：在列表框中選擇“IP安全策略管理”點(diǎn)擊“添加”按鈕，在“選擇計(jì)算機(jī)”對話框中，選擇“本地計(jì)算機(jī)”，最后點(diǎn)擊“完成”。這樣就在“MMC控制臺(tái)”啟用了IPSec安全策略。

方法二：利用本地安全策略

進(jìn)入“控制面板→管理工具”選項(xiàng)，運(yùn)行“本地安全設(shè)置”選項(xiàng)，在“本地安全設(shè)置”窗口中展開“安全設(shè)置”選項(xiàng)，就可以找到“IP安全策略，在本地計(jì)算機(jī)”。

IPSec安全策略的組成

為了增強(qiáng)網(wǎng)絡(luò)通信安全或?qū)蛻魴C(jī)器的管理，網(wǎng)絡(luò)管理員可以通過在Windows系統(tǒng)中定義IPSec安全策略來實(shí)現(xiàn)。一個(gè)IPSec安全策略由IP篩選器和篩選器操作兩部分構(gòu)成，其中IP篩選器決定哪些報(bào)文應(yīng)當(dāng)引起IPSec安全策略的關(guān)注，篩選器操作是指“允許”還是“拒絕”報(bào)文的通過。要新建一個(gè)IPSec安全策略，一般需要新建IP篩選器和篩選器操作。

PSec安全策略應(yīng)用實(shí)例

目的：阻止局域網(wǎng)中IP為“192.168.0.2”的機(jī)器訪問Windows2003終端服務(wù)器。

很多服務(wù)器都開通了終端服務(wù)，除了使用用戶權(quán)限控制訪問外，還可以創(chuàng)建IPSec安全策略進(jìn)行限制。

第一步：在Windows

2003服務(wù)器的IP安全策略主窗口中，右鍵點(diǎn)擊“IP安全策略，在本地計(jì)算機(jī)”，選擇“創(chuàng)建IP安全策略”選項(xiàng)，進(jìn)入“IP安全策略向?qū)А?，點(diǎn)擊“下一步”，在“IP安全策略”名稱對話框中輸入該策略的名字如“終端服務(wù)過濾”，點(diǎn)擊“下一步”，下面彈出的對話框都選擇默認(rèn)值，最后點(diǎn)擊“完成”按鈕。

第二步：為該策略創(chuàng)建一個(gè)篩選器。右鍵點(diǎn)擊“IP安全策略，在本地計(jì)算機(jī)”，在菜單中選擇“管理IP篩選器表和篩選器操作”，切換到“管理IP篩選器列表”標(biāo)簽頁，點(diǎn)擊下方的“添加”，彈出的“IP篩選器列表”對話框，在“名稱”輸入框中輸入“終端服務(wù)”，點(diǎn)擊“添加”，進(jìn)入“IP篩選器向?qū)А贝翱?，點(diǎn)擊“下一步”，在“源地址”下拉列表框中選擇“一個(gè)特定IP地址”，然后輸入該客戶機(jī)的IP地址和子網(wǎng)掩碼，如“192.168.0.2”。點(diǎn)擊“下一步”后，在“目標(biāo)地址”下拉列表框中選擇“我的IP地址”，點(diǎn)擊“下一步”，接著在“選擇協(xié)議類型”中選擇“TCP”協(xié)議，點(diǎn)擊“下一步”，接著在協(xié)議端口中選擇“從任意端口，到此端口”，在輸入框中填入“3389”，點(diǎn)擊“下一步”后完成篩選器的創(chuàng)建。

第三步：新建一個(gè)阻止操作。切換到“篩選器操作”標(biāo)簽頁，點(diǎn)擊“添加”按鈕，進(jìn)入到“IP安全篩選器操作向?qū)А保c(diǎn)擊“下一步”，給這個(gè)操作起一個(gè)名字，如“阻止”，點(diǎn)擊“下一步”，接著設(shè)置“篩選器操作的行為”，選擇“阻止”單選項(xiàng)，點(diǎn)擊“下一步”，就完成了“IP安全篩選器操作”的添加工作。最后在IP安全策略主窗口中，雙擊第一步建立的“終端服務(wù)過濾”安全策略，點(diǎn)擊“添加”按鈕，進(jìn)入“創(chuàng)建IP安全規(guī)則向?qū)А保c(diǎn)擊“下一步”，選擇“此規(guī)則不指定隧道”，點(diǎn)擊“下一步”，在網(wǎng)絡(luò)類型對話框中選擇“局域網(wǎng)”，點(diǎn)擊“下一步”，在接下來對話框中選擇默認(rèn)值，點(diǎn)擊“下一步”，在IP篩選器列表中選擇“終端服務(wù)”選項(xiàng)，點(diǎn)擊“下一步”，接著在篩選器操作列表中選擇“阻止”，最后點(diǎn)擊“完成”。

完成了創(chuàng)建IPSec安全策略后，還要進(jìn)行指派，右鍵單擊“終端服務(wù)過濾”，在彈出的菜單中選擇“指派”，這樣就啟用了該IPSec安全策略。局域網(wǎng)中IP為“192.168.0.2”的機(jī)器就不能訪問Windows

2003終端服務(wù)器了。

Windows系統(tǒng)的IPSec安全策略也存在不足，一臺(tái)機(jī)器同時(shí)只能有一個(gè)策略被指派。

關(guān)于服務(wù)器設(shè)置IP安全策略禁止部分IP上外網(wǎng)的設(shè)置

在二層交換機(jī)中設(shè)置訪問控制列表,或用劃分VLAN的方式隔離其他網(wǎng)段.

服務(wù)器如何利用本地安全策略來限制訪問IP的流量

1.點(diǎn)擊 “開始菜單/設(shè)置/控制面板/管理工具”,雙擊打開”本地策月”,選中”ip安全策月,在本地計(jì)算機(jī)”右邊的空白位置右擊鼠標(biāo),談出快捷菜單,選擇”創(chuàng)建ip安全策月”,彈出向?qū)?在向?qū)е悬c(diǎn)擊下一步 下一步,當(dāng)顯示”安全通信請求”畫面時(shí),把”激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉,點(diǎn)”完成”就創(chuàng)建了一個(gè)新的ip安全策月.

2.右擊該ip安全策月,在”屬性”對話框中，把”使用添加向?qū)А弊筮叺你^去掉,然后再點(diǎn)擊右邊的”添加”按紐添加新的規(guī)則,隨后彈出”新規(guī)則屬性”對話框,在畫面上點(diǎn)擊”添加”按紐,彈出ip篩選器列表窗口.在列表中,首先把”使用添加向?qū)А弊筮叺你^去掉,然后再點(diǎn)擊右邊的”添加”按紐添加新的篩選器.

3.進(jìn)入”篩選器屬性’對話框,首先看到的是尋地址,源地址選”一個(gè)特定的IP地址”,目標(biāo)地址選”我的ip地址”,在特定的IP地址那填上你要阻止的IP地址，點(diǎn)擊確定

4.在”新規(guī)則屬性”對話框中,選擇”新ip篩選器列表’然后點(diǎn)擊其左邊的復(fù)選框,表示已經(jīng)激活.最后點(diǎn)擊”篩選器操作”選項(xiàng)卡中,把”使用添加向?qū)А弊筮叺你^去掉,點(diǎn)擊”添加”按鈕,進(jìn)行”阻止”操作,在”新篩選器操作屬性”的”安全措施”選項(xiàng)卡中,選擇”阻止”,然后點(diǎn)擊”確定”

5.進(jìn)入”新規(guī)則屬性”對話框,點(diǎn)擊”新篩選器操作”.,選取左邊的復(fù)選框,表示已經(jīng)激活,點(diǎn)擊”關(guān)閉”按鈕,關(guān)閉對話框.最后”新ip安全策略屬性”對話框,在”新的ip篩選器列表”左邊打鉤,按確定關(guān)閉對話框.在”本地安全策略”窗口,用鼠標(biāo)右擊新添加的ip安全策略,然后選擇”指派”.