限制圖形堡壘發(fā)布的SecureCRT只能連接字符堡壘的配置方法

1. 概述

之前發(fā)布過防止PLSQL繞行登錄數(shù)據(jù)庫控制方法，有項目反饋，用戶能通過圖形堡壘發(fā)布的CRT，手工連接其他主機，導(dǎo)致繞過字符堡壘的情況。本想按照前面的套路，修改CRT的菜單，結(jié)果發(fā)現(xiàn)不可行，菜單文件里面寫的是二進制的，根本無法對應(yīng)。經(jīng)過測試，可以通過windows防火墻出站策略控制指定目錄下CRT只連接指定IP的指定端口（比如只連字符堡壘的端口），如果項目組測試時需要用CRT手工連接其他IP和端口，只需拷貝一個CRT到其他目錄下，就可以不受限制（圖形堡壘需要2008及以上的操作系統(tǒng)，并且所有圖形堡壘CRT的目錄相同）。

2. 操作步驟

2.1. 通過域組策略強制圖形堡壘開啟防火墻

組策略：計算機配置→策略→Windows 設(shè)置→安全設(shè)置→高級安全windows防火墻→高級安全windows防火墻，右側(cè)點“windows防火墻屬性”

域配置文件、專屬配置文件、公用配置文件，三個地方的防火墻狀態(tài)，選擇“啟用（推薦）”

配置這項之前，需要確保圖形堡壘已經(jīng)開啟了防火墻，并且配置了入站策略，否則，開啟防火墻，可能會導(dǎo)致客戶端無法連接圖形堡壘的端口，影響圖形堡壘的正常使用

2.2. 通過域組策略配置出站策略，限定只允許訪問堡壘端口

組策略：計算機配置→策略→Windows 設(shè)置→安全設(shè)置→高級安全windows防火墻→高級安全windows防火墻→出站策略，右鍵新建規(guī)則，選擇自定義，點下一步

設(shè)置CRT程序路徑，點下一步

協(xié)議類型選擇“TCP”,遠程端口選擇“特定端口”，設(shè)置除了字符堡壘的端口之外的其它端口，比如字符堡壘端口為TCP2200，那么遠程端口則填“0-2199,2201-65535”，點下一步

規(guī)則應(yīng)用IP按默認的選擇“任何IP地址”，點下一步

操作方式按默認“阻止連接”，點下一步

按默認方式三個地方都應(yīng)用規(guī)則，點下一步

起個名字，比如permitTCP2200，點完成

2.3. 通過域組策略配置出站策略，限定只允許訪問堡壘IP

步驟和前面差不多，只是這次設(shè)定的是IP地址范圍，但是需要設(shè)置兩個規(guī)則，比如字符堡壘的地址為10.1.1.1~10.1.1.10，那么設(shè)置兩個規(guī)則，第一個規(guī)則地址范圍為0.0.0.0~10.1.1.0，第二個規(guī)則地址范圍為10.1.1.11~255.255.255.255

下面以創(chuàng)建10.1.1.1前面的ip地址范圍規(guī)則為例，說明步驟：

組策略：計算機配置→策略→Windows 設(shè)置→安全設(shè)置→高級安全windows防火墻→高級安全windows防火墻→出站策略，右鍵新建規(guī)則，選擇自定義，點下一步

設(shè)置CRT程序路徑，點下一步

端口和協(xié)議，按默認，任何協(xié)議，點下一步

本地IP為“任何IP”，目標IP選擇“下列IP”,點右側(cè)的添加

選擇“此IP地址范圍”，輸入從0.0.0.0到10.1.1.0，點確定，返回

點下一步，操作方式按默認“阻止連接”，點下一步

按默認方式三個地方都應(yīng)用規(guī)則，點下一步

起個名字，比如before10.1.1.1，點完成

3. 備注：

1.如果要求松一點，第二步和第三步，可以只選擇其中一個

2.windows防火墻規(guī)則優(yōu)先級不是按規(guī)則順序來執(zhí)行的

3.不要嘗試配置一個允許規(guī)則，再配置一個拒絕所有的規(guī)則，因為拒絕規(guī)則優(yōu)先。