配置Windows下的安全策略

最近给几台Windows服务器做安全策略，这里留下几点心得。
所谓安全策略呢，就是在［管理工具］|［本地安全策略］|［IP安全策略］，其实呢，在［本地安全策略］下还有很多可以设置的项，这里就不详述了，这里主要是谈一个做IP安全策略，做出来，效果就像是一个防火墙。
［IP安全策略］的架构是这样的，整个策略是一个筛选列表；表里每一条记录是一个条件组对应一个动作；而一个条件组里理所当然又可以包含多个条件。设置的时候呢，先创建一个条件组（即一个IP筛选器列表），再创建一个动作（即一个筛选器操作）。在添加一个IP筛选器列表的时候，我们要为这个列表添加一个或多个筛选器（即条件组中的条件）。在创建动作的时候，则要为它指定一个安全措施，如阻止或者是允许等等。好了，架构就是这么简单，接下来我主要从以下几个方面设置IP安全策略：1、Ping；2、所有进出服务器的数据包；3、TCP/UDP过滤。

1、设置是否禁Ping包
添加一个IP筛选器列表，起名叫ICMP，这个名字你不一定要和我的起成一样，呵呵。然后添加一个筛选器，源地址为［我的IP地址］，目标地址是［任何IP地址］，勾选［镜像］，［协议类型］选择ICMP，［描述］里面就随便写点什么，只要自己看得懂就可以了，我还是写的icmp。
添加一个筛选器操作，起名Block，阻止的意思。安全措施选择阻止即可。
好了，我们把ICMP筛选器列表和Block筛选操作对应起来，就完成了禁Ping的设置。 如果您想您的服务器可以Ping通，则可以选择操作为允许，或者干脆不设置这一条。

2、所有进出服务器的数据包
新建一列表，起名ALL，顾名思义，所有进出数据包。筛选器里源地址为［我的IP地址］，目标地址是［任何IP地址］，勾选［镜像］，［协议类型］选择任意，［描述］里面还是随便写点什么。
把这个列表与我们刚才建立的那个Block操作对应起来，过滤掉所有的进出流量。记着这个时候，你千万不要应用这个策略，因为这时所有的进出数据包都被拦截，这台服务器现在就是“不上网”状态，如果你是远程登录服务器的，那3389也会被它干掉，你就只有去机房才能解决咯！

3、TCP/UDP过滤
先说一个TCP的过滤：
新建一列表，起名3389，嘿嘿，知道干吗用的了吧? 筛选器里源地址为［任何IP地址］，目标地址是［我的IP地址］，勾选［镜像］，［协议类型］选择TCP，［源端口］任意，［目标端口］填3389，［描述］里面还是随便写点什么。
把它与允许操作对应起来，这样子，我们就配置开启了3389连接。这里提一下，源地址我们填的是［任何IP地址］，如果你想从某一个固定的IP，或者IP段登录，你可以把［源地址］相应的调整成为一个IP或者一个子网。
类似的，你可以配置登录web80、ftp21、sql1433、mysql3306、mail25/110等等。
下面谈一个UDP的过滤：
原则上和TCP过滤差不多，只是在协议类型上选择［UDP］而已。需要用到UDP的地方主要是DNS服务器，要开启udp53端口。

好了，关于安全策略，我也是懂得个大概，至于怎样去发挥它的优势把服务器打造得坚如铁桶，那就是各位看官儿的事了，哈哈。
事毕，回家睡觉。 公司好冷啊，该开空调了吧！