巧用WINDOWS IP安全策略

windows服务器的安全性可以通过设定ip安全策略来增强，这是每个windows系统运维人员必备的技能之一。ip安全策略可以设置相应的规则，以控制特定端口和ip的访问权限，从而提升系统的安全性。

需求：在机房内硬件防火墙尚未部署的情况下，业务部门希望通过系统安全策略限制特定IP对3389端口的访问。

实现步骤：

1. 打开本地安全策略：

   开始 - 运行 - 输入secpol.msc，或者开始 - 程序 - 管理工具 - 本地安全策略。

   在弹出的窗口中，右击IP安全策略，在本地计算机上创建新的IP安全策略：

   

2. 创建一个新的IP安全策略，确保不勾选“激活默认响应规则”和“编辑属性”选项：

   

3. 首先创建一个阻止所有访问的规则，封锁所有端口和IP地址：

   阻止任何IP地址

   阻止任意协议类型

   

4. 接下来逐个放行访问权限，设置“IP筛选器列表”以允许相关端口和协议，默认远程端口为3389：

   

5. 最后使策略生效：右击IP安全策略，选择分配：

   

   怪兽智能全息舱

   专业的AI数字人平台，定制数字人专属IP

   0

   查看详情

   

6. 如果需要允许的IP和端口较多，手动输入较为繁琐，可以导出策略备份，然后在其他机器上直接导入：

   开始 > 运行 > gpedit.msc

   计算机配置 > windows 设置 > 安全设置 > IP安全策略 > 右键 > 所有任务 > 导入策略

   

   导入后需要分配才能启用策略。

到这里，基本步骤就完成了。

补充：

除了放行3389端口外，实际生产环境中还需要放行80、443等端口，否则无法访问网站。如果网站需要访问其他外部网站，还需放行服务器对外的80端口，因为“阻止所有”规则会封锁所有对内和对外的端口。

数据库端口通常建议不放行，可在服务器内部操作。如果必须在本地连接数据库，可以类似于远程连接设置，仅放行相关IP。其他端口可根据需求进行放行。

有时可能遇到打开安全策略时报错“在保存ip安全数据时出现下列错误：指定的服务并未以已安装的服务存在。（80070424）”，这是由于“IPSEC Services”服务未开启所致。

以上就是巧用WINDOWS IP安全策略的详细内容，更多请关注php中文网其它相关文章！