巧用WINDOWS IP的安全策略是怎樣的

這篇文章將為大家詳細(xì)講解有關(guān)巧用WINDOWS IP的安全策略是怎樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

windows服務(wù)器的安全可以通過設(shè)定IP安全策略來得到一定的保護(hù)，對于每個Windows系統(tǒng)運維人員來說IP安全策略是必備的技能之一。

IP安全策略，簡單的來說就是可以通過做相應(yīng)的策略來達(dá)到放行、阻止相關(guān)的端口；放行、阻止相關(guān)的IP，實現(xiàn)一定程度的系統(tǒng)安全。

需求：機(jī)房內(nèi)硬件防火墻還未到位，業(yè)務(wù)部門希望通過系統(tǒng)安全策略來限定有限IP對3389端口的訪問

實現(xiàn)步驟：

1、打開本地安全策略：

開始－運行－輸入secpol.msc或者開始－程序－管理工具－本地安全策略

彈出來的窗口中，右擊IP安全策略，在本地計算機(jī)創(chuàng)建IP安全策略：

2、創(chuàng)建一個新的IP安全策略，不要勾選“激活默認(rèn)響應(yīng)規(guī)則”和“編輯屬性”

4、先建一個阻止所有的規(guī)則，阻止所有也就是阻止所有的端口及IP地址訪問

阻止任何IP地址

阻止任意協(xié)議類型

3、下面我們要逐個放行，其實具體過程和上面是一樣的；設(shè)置“IP篩選器列表”可以改成允許相關(guān)的端口和協(xié)議，默認(rèn)的遠(yuǎn)程端口就是3389

4、最后再讓策略生效：右擊IP安全策略，分配就可以了

5、如果要允許的ip和端口比較多，一個一個輸入比較累，可以直接導(dǎo)出策略備份，然后其他機(jī)器上直接導(dǎo)入即可。

ip安全策略的導(dǎo)入方法：

開始 > 運行 > gpedit.msc

計算機(jī)配置 > windows 設(shè)置 > 安全設(shè)置 > IP安全策略 > 右鍵 > 所有任務(wù) > 導(dǎo)入策略

導(dǎo)入以后還需要分配才能啟用。

好了，基本上到這就ok了。

補(bǔ)充：

除了上面放行的3389端口之外，實際生產(chǎn)環(huán)境中還要放行80、443等端口，不然別人訪問不了你的網(wǎng)站，如果你的網(wǎng)站在調(diào)用時還要訪問到別人的網(wǎng)站那么還得放行服務(wù)器對外的80端口號（因為阻止所有里是不管對外還是對內(nèi)的端口都是封著的）。

數(shù)據(jù)庫的端口一般建議別放行，可以直接在服務(wù)器里操作，如果非要在本地連接數(shù)據(jù)庫的話可以和遠(yuǎn)程連接設(shè)置一樣，放行相關(guān)的IP就行。還有其他的一些端口可以根據(jù)自己的需要進(jìn)行放行。

另外，有時可能出現(xiàn)打開安全策略報錯“在保存ip安全數(shù)據(jù)時出現(xiàn)下列錯誤：指定的服務(wù)并未以已安裝的服務(wù)存在。（80070424）”　這個是由于服務(wù)“IPSEC Services”沒有開啟。

關(guān)于巧用WINDOWS IP的安全策略是怎樣的就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。