路由网windows服务器的安全性可以通过设定ip安全策略来增强,这是每个windows系统运维人员必备的技能之一。ip安全策略可以设置相应的规则,以控制特定端口和ip的访问权限,从而提升系统的安全性。
需求:在机房内硬件防火墙尚未部署的情况下,业务部门希望通过系统安全策略限制特定IP对3389端口的访问。
实现步骤:
-
打开本地安全策略:
开始 – 运行 – 输入secpol.msc,或者开始 – 程序 – 管理工具 – 本地安全策略。
在弹出的窗口中,右击IP安全策略,在本地计算机上创建新的IP安全策略:
-
创建一个新的IP安全策略,确保不勾选“激活默认响应规则”和“编辑属性”选项:
-
首先创建一个阻止所有访问的规则,封锁所有端口和IP地址:
阻止任何IP地址
阻止任意协议类型
-
接下来逐个放行访问权限,设置“IP筛选器列表”以允许相关端口和协议,默认远程端口为3389:
-
最后使策略生效:右击IP安全策略,选择分配:
-
如果需要允许的IP和端口较多,手动输入较为繁琐,可以导出策略备份,然后在其他机器上直接导入:
开始 > 运行 > gpedit.msc
计算机配置 > windows 设置 > 安全设置 > IP安全策略 > 右键 > 所有任务 > 导入策略
导入后需要分配才能启用策略。
到这里,基本步骤就完成了。
补充:
除了放行3389端口外,实际生产环境中还需要放行80、443等端口,否则无法访问网站。如果网站需要访问其他外部网站,还需放行服务器对外的80端口,因为“阻止所有”规则会封锁所有对内和对外的端口。
数据库端口通常建议不放行,可在服务器内部操作。如果必须在本地连接数据库,可以类似于远程连接设置,仅放行相关IP。其他端口可根据需求进行放行。
有时可能遇到打开安全策略时报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)”,这是由于“IPSEC Services”服务未开启所致。
