Win2003通过IP安全策略实现远程桌面(3389端口)访问过滤功能
一台服务器,有时需要限制某些IP访问本机的相关服务,本案例即为需要限制某些IP地址访问本机的3389远程桌面端口,只让两个IP可以访问本机,其余IP全部不允许,将以win2003系统版本说明配置步骤,Win2008配置和2003原理及配置界面基本相同,这里不再描述如何配置。
实现总体说明:采用操作系统“组策略”中自带的“IP安全策略”功能,定义两个策略,再通过策略下发,使之生效,具体配置步骤如下:
在win2003运行窗口中gpedit.msc,打开组策略:
在打开的窗口中选择“计算机配置”->“Windows 设置”->“安全设置”->“IP安全策略,在本地计算机”,如下图所示
在右边窗口中右键鼠标,选择“创建IP安全策略”,在弹出的窗口中点击下一步,开始配置
在名称一栏中,输入“3389远程桌面服务过滤”,你也可以输入其它名称,点击下一步继续
将“激活默认响应规则”前面的钩去除,如下图所示,点击下一步继续
编辑属性打钩,点击完成。
在弹出的对话框中选择“添加”,如下图
在“IP筛选器列表”选项中,选择“添加”,如下图
在弹出的对话框中,名称一栏中输入“允许3389远程桌面IP列表”,再将“使用添加向导”前的钩去除,最后再点击添加按扭,如下图所示
由于我们需要实现的功能为:让一台主机可以访问本机的3389远程桌面服务,其余方地址全部阻止,所以这里源地址选择“一个特定的IP地址”,再输入一个可以访问本机的源IP,本案例为192.200.200.90,目标地址选择“我的IP地址”,镜像前面的钩去除,如下图所示
如下图,再配置第二个选项栏——“协议”,选择TCP,协议端口设置为从任意端口至3389端口,然后点击确定完成配置。
完成后,再使用相同的方法,配置一个“阻止3389远程桌面IP列表”,如下图
由于本IP列表是要阻止所有的远程桌面连接,所以源地址选择“任何IP地址”,目的IP还是选择“我的IP地址”,镜像前面的钩去除
协议选项栏配置如下图所示,类型为TCP,端口还是任意至3389,如下图所示
如下图,完成创建后,“P筛选器列表”中,就会多出两个IP列表,接着开始配置“筛选器操作”选项卡
选择“筛选器操作”选项卡,如下所示,这里,也需要添加两个操作,一个为允许动作的操作,另一个为阻止动作的操作,首先添加一个允许动作的操作列表,选择“添加”按扭
安全措施中选择“许可”,如下图
常规选项卡中,给这个操作起个名称,这里为“允许访问动作”,如下图,点击确定完成。
再添加一个阻止动作的操作列表,安全措施选择阻止选项,如下图
常规选项卡中起一个名称,这里为“阻止访问动作“,点击确定完成添加。
完成了筛选器列表和筛选器操作的列表创建后,就可以将两者关联起来即可,如下所示,将”允许3389远程桌面IP列表“与”允许访问动作“进行关联;将”阻止3389远程桌面IP列表“与”阻止访问动作“进行关联:
关联配置方法为:
IP筛选器列表中,选中”允许3389远程桌面IP列表“,即允许两字前圆圈中有个小黑点,切换至筛选器操作选项栏,选中”允许访问动作“,最后点击”应用“按扭,如下图所示
使用同样的办法,IP筛选器列表中,选中”阻止3389远程桌面IP列表“,筛选器操作选项栏中,选中”允许访问动作“,如下图所示
完成后,就会有两个IP安全规则,如下图所示
最后,鼠标右键新建的”3389远程桌面服务过滤“,选择”指派“,规则即生效,这样配置后,只有IP为192.200.200.90的主机可以远程桌面此服务器,其余IP全部不允许。
