windows服务器的安全可以通过设定IP安全策略来得到一定的保护,对于每个Windows系统运维人员来说IP安全策略是必备的技能之一。
IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP,实现一定程度的系统安全。
需求:机房内硬件防火墙还未到位,业务部门希望通过系统安全策略来限定有限IP对3389端口的访问
实现步骤:
1、打开本地安全策略:
开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略
弹出来的窗口中,右击IP安全策略,在本地计算机创建IP安全策略:
2、创建一个新的IP安全策略,不要勾选“激活默认响应规则”和“编辑属性”
4、先建一个阻止所有的规则,阻止所有也就是阻止所有的端口及IP地址访问
阻止任意协议类型
3、下面我们要逐个放行,其实具体过程和上面是一样的;设置“IP筛选器列表”可以改成允许相关的端口和协议,默认的远程端口就是3389
4、最后再让策略生效:右击IP安全策略,分配就可以了
5、如果要允许的ip和端口比较多,一个一个输入比较累,可以直接导出策略备份,然后其他机器上直接导入即可。
ip安全策略的导入方法:开始 > 运行 > gpedit.msc
计算机配置 > windows 设置 > 安全设置 > IP安全策略 > 右键 > 所有任务 > 导入策略
导入以后还需要分配才能启用。
好了,基本上到这就ok了。
补充:
数据库的端口一般建议别放行,可以直接在服务器里操作,如果非要在本地连接数据库的话可以和远程连接设置一样,放行相关的IP就行。还有其他的一些端口可以根据自己的需要进行放行。
另外,有时可能出现打开安全策略报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)” 这个是由于服务“IPSEC Services”没有开启。
本文出自 “滴水穿石孙杰” 博客,请务必保留此出处http://xjsunjie.blog.51cto.com/999372/1971186
原文地址:http://xjsunjie.blog.51cto.com/999372/1971186