巧用WINDOWS IP安全性原則

標籤：ip   windows   安全性原則   

windows伺服器的安全可以通過設定IP安全性原則來得到一定的保護，對於每個Windows系統營運人員來說IP安全性原則是必備的技能之一。

IP安全性原則，簡單的來說就是可以通過做相應的策略來達到允許存取、阻止相關的連接埠；允許存取、阻止相關的IP，實現一定程度的系統安全。

需求：機房內硬體防火牆還未到位，業務部門希望通過系統安全性原則來限定有限IP對3389連接埠的訪問

實現步驟：

1、開啟本地安全性原則：

開始－運行－輸入secpol.msc或者開始－程式－管理工具－本地安全性原則

彈出來的視窗中，右擊IP安全性原則，在本機電腦建立IP安全性原則：

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/08/24/wKiom1nc3JuBCat2AAFWcmK3ndA761.png-wh_500x0-wm_3-wmp_4-s_3625177004.png" title="11.png" alt="wKiom1nc3JuBCat2AAFWcmK3ndA761.png-wh_50" />

2、建立一個新的IP安全性原則，不要勾選“啟用預設響應規則”和“編輯屬性”

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M01/08/24/wKiom1nc3pexA-1qAAGaY4lsxvk373.png-wh_500x0-wm_3-wmp_4-s_4069612373.png" title="22.png" alt="wKiom1nc3pexA-1qAAGaY4lsxvk373.png-wh_50" />

650) this.width=650;" src="https://s4.51cto.com/wyfs02/M00/A6/D6/wKioL1ncb7Ozh_EwAAKKbL922U4526.png-wh_500x0-wm_3-wmp_4-s_3324612261.png" title="33.png" alt="wKioL1ncb7Ozh_EwAAKKbL922U4526.png-wh_50" />

4、先建一個阻止所有的規則，阻止所有也就是阻止所有的連接埠及IP地址訪問

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/A6/D6/wKioL1nccJbygQqbAAH8Csonk9c813.png-wh_500x0-wm_3-wmp_4-s_1207089150.png" title="44.png" alt="wKioL1nccJbygQqbAAH8Csonk9c813.png-wh_50" />

阻止任何IP地址

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M02/08/24/wKiom1nc37aT_t-CAAFh1dwSn6I092.png-wh_500x0-wm_3-wmp_4-s_3812092547.png" title="55.png" alt="wKiom1nc37aT_t-CAAFh1dwSn6I092.png-wh_50" />

阻止任意協議類型

650) this.width=650;" src="https://s3.51cto.com/wyfs02/M02/08/24/wKiom1nc3-zgC11SAAFWHe2Bu_U947.png-wh_500x0-wm_3-wmp_4-s_963692621.png" title="66.png" alt="wKiom1nc3-zgC11SAAFWHe2Bu_U947.png-wh_50" />

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/A6/D6/wKioL1nccMfz1_2-AAHOTAuzeYc320.png-wh_500x0-wm_3-wmp_4-s_1987204289.png" title="77.png" alt="wKioL1nccMfz1_2-AAHOTAuzeYc320.png-wh_50" />

3、下面我們要逐個允許存取，其實具體過程和上面是一樣的；設定“IP篩選器列表”可以改成允許相關的連接埠和協議，預設的遠程連接埠就是3389

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/A6/D7/wKioL1ncc07hNmJxAAUoP0Fa2Gw809.png-wh_500x0-wm_3-wmp_4-s_3546312607.png" title="00.png" alt="wKioL1ncc07hNmJxAAUoP0Fa2Gw809.png-wh_50" />

4、最後再讓策略生效：右擊IP安全性原則，分配就可以了

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/08/25/wKiom1nc4rOAt4QlAAGXhNShxQc034.png-wh_500x0-wm_3-wmp_4-s_1044983600.png" title="222.png" alt="wKiom1nc4rOAt4QlAAGXhNShxQc034.png-wh_50" />

5、如果要允許的ip和連接埠比較多，一個一個輸入比較累，可以直接匯出策略備份，然後其他機器上直接匯入即可。

ip安全性原則的匯入方法：

開始 > 運行 > gpedit.msc

電腦配置 > windows 設定 > 安全設定 > IP安全性原則 > 右鍵 > 所有任務 > 匯入策略

650) this.width=650;" src="https://s2.51cto.com/wyfs02/M01/A6/D7/wKioL1ncdB6D-KBtAAI57uARJ5Y387.png-wh_500x0-wm_3-wmp_4-s_4282112278.png" title="221.png" alt="wKioL1ncdB6D-KBtAAI57uARJ5Y387.png-wh_50" />

匯入以後還需要分配才能啟用。

好了，基本上到這就ok了。

補充：

除了上面允許存取的3389連接埠之外，實際生產環境中還要允許存取80、443等連接埠，不然別人訪問不了你的網站，如果你的網站在調用時還要訪問到別人的網站那麼還得允許存取伺服器對外的80連接埠號碼（因為阻止所有裡是不管對外還是對內的連接埠都是封著的）。

資料庫的連接埠一般建議別允許存取，可以直接在伺服器裡操作，如果非要在本地串連資料庫的話可以和遠端連線設定一樣，允許存取相關的IP就行。還有其他的一些連接埠可以根據自己的需要進行允許存取。

另外，有時可能出現開啟安全性原則報錯“在儲存ip安全資料時出現下列錯誤：指定的服務並未以已安裝的服務存在。（80070424）”　這個是由於服務“IPSEC Services”沒有開啟。

本文出自 “滴水穿石孫傑” 部落格，請務必保留此出處http://xjsunjie.blog.51cto.com/999372/1971186

巧用WINDOWS IP安全性原則