巧用WINDOWS IP安全策略
windows服务器的安全可以通过设定IP安全策略来得到一定的保护,对于每个Windows系统运维人员来说IP安全策略是必备的技能之一。
IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP,实现一定程度的系统安全。
需求:机房内硬件防火墙还未到位,业务部门希望通过系统安全策略来限定有限IP对3389端口的访问
实现步骤:
1、打开本地安全策略:
开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略
弹出来的窗口中,右击IP安全策略,在本地计算机创建IP安全策略:
2、创建一个新的IP安全策略,不要勾选“激活默认响应规则”和“编辑属性”
4、先建一个阻止所有的规则,阻止所有也就是阻止所有的端口及IP地址访问
阻止任何IP地址
阻止任意协议类型
3、下面我们要逐个放行,其实具体过程和上面是一样的;设置“IP筛选器列表”可以改成允许相关的端口和协议,默认的远程端口就是3389
4、最后再让策略生效:右击IP安全策略,分配就可以了
5、如果要允许的ip和端口比较多,一个一个输入比较累,可以直接导出策略备份,然后其他机器上直接导入即可。
ip安全策略的导入方法:
开始 > 运行 > gpedit.msc
计算机配置 > windows 设置 > 安全设置 > IP安全策略 > 右键 > 所有任务 > 导入策略
导入以后还需要分配才能启用。
好了,基本上到这就ok了。
补充:
除了上面放行的3389端口之外,实际生产环境中还要放行80、443等端口,不然别人访问不了你的网站,如果你的网站在调用时还要访问到别人的网站那么还得放行服务器对外的80端口号(因为阻止所有里是不管对外还是对内的端口都是封着的)。
数据库的端口一般建议别放行,可以直接在服务器里操作,如果非要在本地连接数据库的话可以和远程连接设置一样,放行相关的IP就行。还有其他的一些端口可以根据自己的需要进行放行。
另外,有时可能出现打开安全策略报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)” 这个是由于服务“IPSEC Services”没有开启。