当前位置: 洪哥笔记 > Windows > 配置IP安全策略

 

配置IP安全策略


关键词

配置IP安全策略

摘要

配置Windows下的安全策略

最近给几台Windows服务器做安全策略,这里留下几点心得。
所谓安全策略呢,就是在[管理工具]|[本地安全策略]|[IP安全策略],其实呢,在[本地安全策略]下还有很多可以设置的项,这里就不详述了,这里主要是谈一个做IP安全策略,做出来,效果就像是一个防火墙。
[IP安全策略]的架构是这样的,整个策略是一个筛选列表;表里每一条记录是一个条件组对应一个动作;而一个条件组里理所当然又可以包含多个条件。设置的时候呢,先创建一个条件组(即一个IP筛选器列表),再创建一个动作(即一个筛选器操作)。在添加一个IP筛选器列表的时候,我们要为这个列表添加一个或多个筛选器(即条件组中的条件)。在创建动作的时候,则要为它指定一个安全措施,如阻止或者是允许等等。好了,架构就是这么简单,接下来我主要从以下几个方面设置IP安全策略:1、Ping;2、所有进出服务器的数据包;3、TCP/UDP过滤。

配置Windows下的安全策略

最近给几台Windows服务器做安全策略,这里留下几点心得。
所谓安全策略呢,就是在[管理工具]|[本地安全策略]|[IP安全策略],其实呢,在[本地安全策略]下还有很多可以设置的项,这里就不详述了,这里主要是谈一个做IP安全策略,做出来,效果就像是一个防火墙。
[IP安全策略]的架构是这样的,整个策略是一个筛选列表;表里每一条记录是一个条件组对应一个动作;而一个条件组里理所当然又可以包含多个条件。设置的时候呢,先创建一个条件组(即一个IP筛选器列表),再创建一个动作(即一个筛选器操作)。在添加一个IP筛选器列表的时候,我们要为这个列表添加一个或多个筛选器(即条件组中的条件)。在创建动作的时候,则要为它指定一个安全措施,如阻止或者是允许等等。好了,架构就是这么简单,接下来我主要从以下几个方面设置IP安全策略:1、Ping;2、所有进出服务器的数据包;3、TCP/UDP过滤。

1、设置是否禁Ping包
添加一个IP筛选器列表,起名叫ICMP,这个名字你不一定要和我的起成一样,呵呵。然后添加一个筛选器,源地址为[我的IP地址],目标地址是[任何IP地址],勾选[镜像],[协议类型]选择ICMP,[描述]里面就随便写点什么,只要自己看得懂就可以了,我还是写的icmp。
添加一个筛选器操作,起名Block,阻止的意思。安全措施选择阻止即可。
好了,我们把ICMP筛选器列表和Block筛选操作对应起来,就完成了禁Ping的设置。 如果您想您的服务器可以Ping通,则可以选择操作为允许,或者干脆不设置这一条。

2、所有进出服务器的数据包
新建一列表,起名ALL,顾名思义,所有进出数据包。筛选器里源地址为[我的IP地址],目标地址是[任何IP地址],勾选[镜像],[协议类型]选择任意,[描述]里面还是随便写点什么。
把这个列表与我们刚才建立的那个Block操作对应起来,过滤掉所有的进出流量。记着这个时候,你千万不要应用这个策略,因为这时所有的进出数据包都被拦截,这台服务器现在就是“不上网”状态,如果你是远程登录服务器的,那3389也会被它干掉,你就只有去机房才能解决咯!

3、TCP/UDP过滤
先说一个TCP的过滤:
新建一列表,起名3389,嘿嘿,知道干吗用的了吧? 筛选器里源地址为[任何IP地址],目标地址是[我的IP地址],勾选[镜像],[协议类型]选择TCP,[源端口]任意,[目标端口]填3389,[描述]里面还是随便写点什么。
把它与允许操作对应起来,这样子,我们就配置开启了3389连接。这里提一下,源地址我们填的是[任何IP地址],如果你想从某一个固定的IP,或者IP段登录,你可以把[源地址]相应的调整成为一个IP或者一个子网。
类似的,你可以配置登录web80、ftp21、sql1433、mysql3306、mail25/110等等。
下面谈一个UDP的过滤:
原则上和TCP过滤差不多,只是在协议类型上选择[UDP]而已。需要用到UDP的地方主要是DNS服务器,要开启udp53端口。

好了,关于安全策略,我也是懂得个大概,至于怎样去发挥它的优势把服务器打造得坚如铁桶,那就是各位看官儿的事了,哈哈。
事毕,回家睡觉。 公司好冷啊,该开空调了吧!

 

要饭二维码

洪哥写文章很苦逼,如果本文对您略有帮助,可以扫描下方二维码支持洪哥!金额随意,先行谢过!大家的支持是我前进的动力!

文章的版权

本文属于“洪哥笔记”原创文章,转载请注明来源地址:配置IP安全策略:http://www.splaybow.com/post/winsecpol09022210122007.html

如果您在服务器运维、网络管理、网站或系统开发过程有需要提供收费服务,请加QQ:115085382!十年运维经验,帮您省钱、让您放心!
亲,如果有需要,先存起来,方便以后再看啊!加入收藏夹的话,按Ctrl+D

« GetDriveName AutoRun病毒 »