WINDOWS IP安全策略的方法

億速云服務(wù)器與全球多個(gè)國(guó)家頂級(jí)機(jī)房直接合作，提供包括香港、美國(guó)、日本等國(guó)家和地區(qū)的服務(wù)器，需要的請(qǐng)聯(lián)系億速云官方客服！ 優(yōu)質(zhì)的服務(wù)器租用!

windows服務(wù)器的安全可以通過(guò)設(shè)定IP安全策略來(lái)得到一定的保護(hù)，對(duì)于每個(gè)Windows系統(tǒng)運(yùn)維人員來(lái)說(shuō)IP安全策略是必備的技能之一。

IP安全策略，簡(jiǎn)單的來(lái)說(shuō)就是可以通過(guò)做相應(yīng)的策略來(lái)達(dá)到放行、阻止相關(guān)的端口；放行、阻止相關(guān)的IP，實(shí)現(xiàn)一定程度的系統(tǒng)安全。

需求：機(jī)房?jī)?nèi)硬件防火墻還未到位，業(yè)務(wù)部門(mén)希望通過(guò)系統(tǒng)安全策略來(lái)限定有限IP對(duì)3389端口的訪問(wèn)

實(shí)現(xiàn)步驟：

1、打開(kāi)本地安全策略：

開(kāi)始－運(yùn)行－輸入secpol.msc或者開(kāi)始－程序－管理工具－本地安全策略

彈出來(lái)的窗口中，右擊IP安全策略，在本地計(jì)算機(jī)創(chuàng)建IP安全策略：

2、創(chuàng)建一個(gè)新的IP安全策略，不要勾選“激活默認(rèn)響應(yīng)規(guī)則”和“編輯屬性”

4、先建一個(gè)阻止所有的規(guī)則，阻止所有也就是阻止所有的端口及IP地址訪問(wèn)

阻止任何IP地址

阻止任意協(xié)議類型

3、下面我們要逐個(gè)放行，其實(shí)具體過(guò)程和上面是一樣的；設(shè)置“IP篩選器列表”可以改成允許相關(guān)的端口和協(xié)議，默認(rèn)的遠(yuǎn)程端口就是3389

4、最后再讓策略生效：右擊IP安全策略，分配就可以了

5、如果要允許的ip和端口比較多，一個(gè)一個(gè)輸入比較累，可以直接導(dǎo)出策略備份，然后其他機(jī)器上直接導(dǎo)入即可。

ip安全策略的導(dǎo)入方法：

開(kāi)始 > 運(yùn)行 > gpedit.msc

計(jì)算機(jī)配置 > windows 設(shè)置 > 安全設(shè)置 > IP安全策略 > 右鍵 > 所有任務(wù) > 導(dǎo)入策略

導(dǎo)入以后還需要分配才能啟用。

好了，基本上到這就ok了。

補(bǔ)充：

除了上面放行的3389端口之外，實(shí)際生產(chǎn)環(huán)境中還要放行80、443等端口，不然別人訪問(wèn)不了你的網(wǎng)站，如果你的網(wǎng)站在調(diào)用時(shí)還要訪問(wèn)到別人的網(wǎng)站那么還得放行服務(wù)器對(duì)外的80端口號(hào)（因?yàn)樽柚顾欣锸遣还軐?duì)外還是對(duì)內(nèi)的端口都是封著的）。

數(shù)據(jù)庫(kù)的端口一般建議別放行，可以直接在服務(wù)器里操作，如果非要在本地連接數(shù)據(jù)庫(kù)的話可以和遠(yuǎn)程連接設(shè)置一樣，放行相關(guān)的IP就行。還有其他的一些端口可以根據(jù)自己的需要進(jìn)行放行。

另外，有時(shí)可能出現(xiàn)打開(kāi)安全策略報(bào)錯(cuò)“在保存ip安全數(shù)據(jù)時(shí)出現(xiàn)下列錯(cuò)誤：指定的服務(wù)并未以已安裝的服務(wù)存在。（80070424）”　這個(gè)是由于服務(wù)“IPSEC Services”沒(méi)有開(kāi)啟。

億速云的服務(wù)器不僅具有高穩(wěn)定性，高速訪問(wèn)，而且易于管理，安全和輕松使用，以減少用戶在服務(wù)器維護(hù)中的能量和時(shí)間成本，并專注于自己的業(yè)務(wù)的開(kāi)發(fā)和推廣。億速云服務(wù)器，致力于為用戶提供性價(jià)比最高的服務(wù)器！