1. 概述

之前發(fā)布過防止PLSQL繞行登錄數(shù)據(jù)庫控制方法，有項(xiàng)目反饋，用戶能通過圖形堡壘發(fā)布的CRT，手工連接其他主機(jī)，導(dǎo)致繞過字符堡壘的情況。本想按照前面的套路，修改CRT的菜單，結(jié)果發(fā)現(xiàn)不可行，菜單文件里面寫的是二進(jìn)制的，根本無法對(duì)應(yīng)。經(jīng)過測試，可以通過windows防火墻出站策略控制指定目錄下CRT只連接指定IP的指定端口（比如只連字符堡壘的端口），如果項(xiàng)目組測試時(shí)需要用CRT手工連接其他IP和端口，只需拷貝一個(gè)CRT到其他目錄下，就可以不受限制（圖形堡壘需要2008及以上的操作系統(tǒng)，并且所有圖形堡壘CRT的目錄相同）。

建網(wǎng)站原本是網(wǎng)站策劃師、網(wǎng)絡(luò)程序員、網(wǎng)頁設(shè)計(jì)師等，應(yīng)用各種網(wǎng)絡(luò)程序開發(fā)技術(shù)和網(wǎng)頁設(shè)計(jì)技術(shù)配合操作的協(xié)同工作。創(chuàng)新互聯(lián)專業(yè)提供成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè),網(wǎng)頁設(shè)計(jì),網(wǎng)站制作(企業(yè)站、響應(yīng)式網(wǎng)站開發(fā)、電商門戶網(wǎng)站)等服務(wù),從網(wǎng)站深度策劃、搜索引擎友好度優(yōu)化到用戶體驗(yàn)的提升,我們力求做到極致!

2. 操作步驟

2.1. 通過域組策略強(qiáng)制圖形堡壘開啟防火墻

組策略：計(jì)算機(jī)配置→策略→Windows 設(shè)置→安全設(shè)置→高級(jí)安全windows防火墻→高級(jí)安全windows防火墻，右側(cè)點(diǎn)“windows防火墻屬性”

域配置文件、專屬配置文件、公用配置文件，三個(gè)地方的防火墻狀態(tài)，選擇“啟用（推薦）”

配置這項(xiàng)之前，需要確保圖形堡壘已經(jīng)開啟了防火墻，并且配置了入站策略，否則，開啟防火墻，可能會(huì)導(dǎo)致客戶端無法連接圖形堡壘的端口，影響圖形堡壘的正常使用

2.2. 通過域組策略配置出站策略，限定只允許訪問堡壘端口

組策略：計(jì)算機(jī)配置→策略→Windows 設(shè)置→安全設(shè)置→高級(jí)安全windows防火墻→高級(jí)安全windows防火墻→出站策略，右鍵新建規(guī)則，選擇自定義，點(diǎn)下一步

設(shè)置CRT程序路徑，點(diǎn)下一步

協(xié)議類型選擇“TCP”,遠(yuǎn)程端口選擇“特定端口”，設(shè)置除了字符堡壘的端口之外的其它端口，比如字符堡壘端口為TCP2200，那么遠(yuǎn)程端口則填“0-2199,2201-65535”，點(diǎn)下一步

規(guī)則應(yīng)用IP按默認(rèn)的選擇“任何IP地址”，點(diǎn)下一步

操作方式按默認(rèn)“阻止連接”，點(diǎn)下一步

按默認(rèn)方式三個(gè)地方都應(yīng)用規(guī)則，點(diǎn)下一步

起個(gè)名字，比如permitTCP2200，點(diǎn)完成

2.3. 通過域組策略配置出站策略，限定只允許訪問堡壘IP

步驟和前面差不多，只是這次設(shè)定的是IP地址范圍，但是需要設(shè)置兩個(gè)規(guī)則，比如字符堡壘的地址為10.1.1.1~10.1.1.10，那么設(shè)置兩個(gè)規(guī)則，第一個(gè)規(guī)則地址范圍為0.0.0.0~10.1.1.0，第二個(gè)規(guī)則地址范圍為10.1.1.11~255.255.255.255

下面以創(chuàng)建10.1.1.1前面的ip地址范圍規(guī)則為例，說明步驟：

組策略：計(jì)算機(jī)配置→策略→Windows 設(shè)置→安全設(shè)置→高級(jí)安全windows防火墻→高級(jí)安全windows防火墻→出站策略，右鍵新建規(guī)則，選擇自定義，點(diǎn)下一步

設(shè)置CRT程序路徑，點(diǎn)下一步

端口和協(xié)議，按默認(rèn)，任何協(xié)議，點(diǎn)下一步

本地IP為“任何IP”，目標(biāo)IP選擇“下列IP”,點(diǎn)右側(cè)的添加

選擇“此IP地址范圍”，輸入從0.0.0.0到10.1.1.0，點(diǎn)確定，返回

點(diǎn)下一步，操作方式按默認(rèn)“阻止連接”，點(diǎn)下一步

按默認(rèn)方式三個(gè)地方都應(yīng)用規(guī)則，點(diǎn)下一步

起個(gè)名字，比如before10.1.1.1，點(diǎn)完成

3. 備注：

1.如果要求松一點(diǎn)，第二步和第三步，可以只選擇其中一個(gè)

2.windows防火墻規(guī)則優(yōu)先級(jí)不是按規(guī)則順序來執(zhí)行的

3.不要嘗試配置一個(gè)允許規(guī)則，再配置一個(gè)拒絕所有的規(guī)則，因?yàn)榫芙^規(guī)則優(yōu)先。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁標(biāo)題：限制圖形堡壘發(fā)布的SecureCRT只能連接字符堡壘的配置方法-創(chuàng)新互聯(lián)
分享地址：http://weahome.cn/article/djiies.html