Windows2008通过本地安全策略限制ip远程登录

1、Win dows2008通过本地安全策略限制ip远程登录应用场景为了提高服务器的安全性，只允许某些IP可以远程连接服务器；方法有很多，这里介绍使用IP Sec的方式实现该需求。如下以Win dows2008系统，进行介绍，其他操作系统类 似。需要进一步说明，使用IP Sec的方法兼容 Win dows 2003系统的配置，对于 Win dows2008以后的系统，推荐使用Win dows高级防火墙中新建策略，仅仅允许指定网段、或 者IP的客户来访问。配置步骤总的规则是，需要添加一条禁止所有的IP远程连接我的3389端口，添加一条允许某个IP远程连接我的3389端口1.【开始】-【运行】输入【g

2、pedit.msc】-【回车】打开组策略2.【windows 设置】-【安全设置】-【IP安全策略】三f衣地计章机策昭3旌讦算机酉隘E 较件设S0 Vinlotts 设g產脚本启动庚机） a a穽全邀0 3帐户策略E 3本地策略田L高级突全ffinikv 3開懐管理器細E:J公钥策略田號件曲制葩辭 jjl 基田管理模帧3懣用户厲畫臣!二1软件设SE T征谥0西设畫H J管理按桢空白处右键选择创建IP安全策略，此处名称可自主命名，然后【下一步】喜鲁殊龍全策略并冃给出一个简短的fiif 名称帕：SBiWK述；卜一第I卞一1 盹当3.不用勾选【激活默认响应规则】，然后点击【下一步】IP安全爭ft向写

3、安全a讯畜求指定遠个策略姗可討安全通讯的诸求作出响蛊。伽琥严机g為至蠶默认响应拥则在ms Vi5ta上无效。它仅在较早版$的 msr澈活默认响应规测（15眼于gg 的孚期版本）00“上一步I下一帯on|4.选择编辑属性点击【完成】上一步（E）IP安全盖fi向写期消 I6.此处的名称可以自定义，我们先添加一条禁止所有ip远程连接本服务器的规则，不用勾选【使用添加向导】，点击【添加】Mir爺诞S列表壬谿名称00：鉴亍満诰器組- 样，參个子网dF地址和协铁可aIP筛选器(S)：源地址厂使用添加向导侏)取消7. 因为我们先添加一条禁止所有ip连接本服务器3389端口的规则，所以【源地址】选 择【任何I

4、P地址】，【目标地址】选择【我的 IP地址】，【镜像】不要勾选，然后选择【协议】应aas g性nnmI任何IF地址目标地址0)-与源地址目折她址正好相反的数据包相匹西”I此处不要勾选8. 【选择协议类型】-【TCP】，【设置IP协议端口】-【从任意端口】-【到此端口】 -【3389】，点击【确定】脱协议IWf I 迭單磁奘型竺:_JtS3R3设S IF协4：端口：- 席就任意谦口 CF) r从蛀请口耐.广到任意0嵩口 疔至忸端口 (0):|了3 駅 I取消【添加】9. 选择【筛选器操作】，不用勾选【使用“添加向导”】K 商翳I麋蓼癣了毗规则是舌协商及如何来保证筛迭器操作叶丄Si添加0）二，團辑

5、區二删農世_ I厂使用-濬力口向导” CFjL关a I,號消I逾舟心）10. 【安全方法】-【阻止】-【确定】簣全方送1當規I11.选择好刚刚创建的新筛选器操作，点击【确定】IP，帶选器列克 蒔选醫換作I身份瞪证方法I隧道设31连接类型)作指定了此坝则是霑协商及如何乗保证踊选器操作”邊加0)I编掛動删腺I厂恒用浦加向辱I 确走12. 到此，禁止所有IP远程连接本服务器 3389的策略已经添加完毕，然后添加允许的IP,不选择【使用“添加向导”】，点击【添加】规则I常规IIF妄全规则CE):0禁止选程彥接口劲态口祷选器列康I祷谨誥換f厂I身份唸斬筛选器换作默认响应仅眼于.- K4沁E湎加00I漏辑

6、闻I 册彝厂使用添加向导” n取消 I 应甫如13. 点击【添加】TP諦透器列夷I橋选器擾作I身饴始证方法i薩道设SI连接婪型I的ir筛迭器列表指定了哪亍网络谎壁将竟此规网IF讳选斟I壊03：名b祭止医程连轄添加血I骗辑厨I 刪除血I确定 I 取消 I 匚丹14. 方法与之前添加拒绝任何IP连接本服务器3389端口一样，中间只是把下图的【源地 址】选择为【一个特定的 IP地址或子网】，【ip地址或子网】填写要允许的地址信息, 如我本地的公网IP是221.216.144.83 ，切记此处一定要填写准确自己的 IP地址，以免IP地址】，不要勾选【镜添加错误导致自己也无法远程连接，【目标地址】选择【

7、我的 像】，点击确定篩迭g B性nsnsflwe址0I一个特走的TF地）11或子网IF 地址或iRct）： pr目揉地址6）:|的ir地址r与地址和目樣地址1好槁段的赫据刨目酬“15. 【安全方法】选择【许可】，点击【确定】新扇选醫悝flJ属性nena许可如Q阴止03协商妄全00:克全厅法首渤篇a:逸一L型一I趣遊i ES添如CD）NIJ厂瀬不安全的a讯，但始餵用IFrec响应 厂如果无法彈立赛全连拐，则冗悴回疥环安全的厘信幣厂使用会皓昵務尧全向前俣袈&站mon下做）I确走I取消I僮用血16 全部添加完毕，查看没有问题后，右键选择创建好的策略，选择分配，即可生效。:!:台已 :软件设S j f iftdcMfi 设 E mw$的席机） 冋券设蛊11户輩B3本礙Kffi级童全Windows 阖绪列