背景描述:
A,B,C,D四臺(tái)電腦,只允許A,B,C三臺(tái)電腦遠(yuǎn)程訪問D,其它任何ip地址不可以遠(yuǎn)程D電腦(但是下面的配置截圖稍微有區(qū)別,大同小異自己多理解,不要照搬照抄)。
測(cè)試系統(tǒng):
;win10專業(yè)版測(cè)試過也是可以的,其它系統(tǒng)沒測(cè)試過,自己測(cè)試。
說明:
(1)以 環(huán)境為例,步驟:先禁止所有IP訪問3389端口,再允許固定IP訪問。
(2)配置過程中很多步驟圖是重復(fù)的,一些沒價(jià)值的圖就省略了;
(3)光看的話可能中間重復(fù)配置 安全規(guī)則和IP篩選器模塊會(huì) 看暈,但按這個(gè)步驟配置肯定沒有問題。
過程梳理:配置IP篩選器列表——指定篩選器操作----應(yīng)用到安全策略——分配-----檢查服務(wù)是否啟動(dòng)。
(4)設(shè)置完成后注意IPSEC服務(wù) 必須為“啟動(dòng)”狀態(tài)且啟動(dòng)類型必須設(shè)置為“自動(dòng)”,否則機(jī)器重啟后無效(在服務(wù)列表表中找IPsec Agent服務(wù));
一、打開本地安全策略
首先要打開本地安全策略,可以通過以下幾種方法打開
1、開始---運(yùn)行---輸入“.msc”---回車
2、開通---控制面板---管理工具---本地安全策略
二、管理IP篩選列表
下面步驟是禁止某個(gè)ip訪問和上面的背景描述有區(qū)別,但是大同小異,自己根據(jù)配置操作。
2.1 右擊“IP安全策略,在本地機(jī)器 ”---“管理IP篩選列表……”
2.2 在“管理IP篩選列表……”窗口點(diǎn)擊“添加”
2.3 在ip篩選列表中輸入名稱和描述,點(diǎn)擊“添加”
2.4 彈出ip篩選器向?qū)Вc(diǎn)擊下一步,輸入描述(按照需要填寫),點(diǎn)擊下一步
2.5 點(diǎn)擊源地址下拉按鈕選擇“一個(gè)特定的IP地址或子網(wǎng)”,將需要阻止的IP填入后門空白框中,點(diǎn)擊下一步
2.6 點(diǎn)擊目標(biāo)地址的下拉按鈕選擇“我的ip地址”,點(diǎn)擊下一步
2.7 由于是要阻止惡意ip,所以協(xié)議類型默認(rèn)選擇“任何”,點(diǎn)擊下一步,協(xié)議選擇任何,會(huì)ping不通。(如果只是要禁止遠(yuǎn)程訪問3389,那么就選tcp協(xié)議,后面一步選3389端口)
2.8 勾選“編輯屬性”然后點(diǎn)擊完成
2.9 點(diǎn)擊確定,然后點(diǎn)擊確定
說明:如果要只允許某個(gè)ip地址訪問,那么根據(jù)上面配置步驟,先建立一個(gè)禁止所有IP訪問3389端口,再允許固定IP訪問win8沒有本地安全策略,這里我就不配置了,因?yàn)闀r(shí)間問題,個(gè)人測(cè)試過是ok的。
三、管理篩選器操作
3.1 返回到“管理IP篩選列表……”界面,將菜單欄切換到“管理篩選器操作”,然后點(diǎn)擊“添加”
3.2 彈出篩選操作向?qū)Т翱冢c(diǎn)擊下一步
篩選操作名稱:輸入名稱和描述,點(diǎn)擊下一步
3.3 篩選器操作常規(guī)選項(xiàng):選擇“阻止”,點(diǎn)擊下一步,然后點(diǎn)擊完成。(如果是允許某個(gè)ip訪問,就選擇“許可”)
3.4 關(guān)閉“管理IP篩選列表……”窗口
四、創(chuàng)建IP安全策略
4.1 右擊“IP安全策略,在本地機(jī)器 ”---“創(chuàng)建ip安全策略”
彈出ip安全策略向?qū)c(diǎn)擊下一步
4.2 設(shè)定ip安全策略名稱和描述,根據(jù)個(gè)人需要填寫下,點(diǎn)擊下一步,直至點(diǎn)擊完成
4.3 彈出新窗口,點(diǎn)擊添加
在安全規(guī)則向?qū)Вc(diǎn)擊下一步
4.4 在隧道終結(jié)點(diǎn)窗口,默認(rèn)選擇“此規(guī)則不指定隧道”,點(diǎn)擊下一步
4.5 網(wǎng)絡(luò)類型,默認(rèn)選擇“所有網(wǎng)絡(luò)連接”,點(diǎn)擊下一步
4.6 ip篩選器列表,選擇之前創(chuàng)建的“阻止ip”,點(diǎn)擊下一步
4.7 篩選器操作,選擇之前創(chuàng)建的“阻止”,點(diǎn)擊下一步
然后點(diǎn)擊完成
4.8 ip篩選列表win8沒有本地安全策略,要勾選之前創(chuàng)建的,然后點(diǎn)擊確定
五、分配安全策略(沒有分配的話,即使服務(wù)啟動(dòng)了,也是無法生效的,個(gè)人測(cè)試過)
5.1 右鍵點(diǎn)擊“阻止ip訪問”,選擇“分配”
5.2 阻止ip訪問前面的圖標(biāo)有顯示一個(gè)綠色的點(diǎn)就是生效了
六、去.msc服務(wù)列表中找到IPsec Agent服務(wù),開啟服務(wù),避免重啟后服務(wù)沒有啟動(dòng),請(qǐng)把服務(wù)選擇自動(dòng)啟動(dòng)類型。
至此, 通過本地安全策略阻止IP訪問,可以測(cè)試。