zoukankan      html  css  js  c++  java
  • Win Server的IP安全策略

    摘要

    服务器的安全可以通过设定IP安全策略来得到一定的保护,对于每个Windows网管人员来说IP安全策略是必备的技能之一。

    安全策略

    IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP,如何做安全策略,小编为大家详细的写了相关的步骤:

    解说步骤:

    阻止所有:

    打开本地安全策略:

    开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略

    弹出来的窗口中,右击IP安全策略,在本地计算机

    1. 创建IP安全策略:

    2. 进入配置向导:直接下一步

    3. 直接就命名:IP 安全策略,然后下一步

    4. “激活默认响应规则”不要勾上,不要勾上,直接下一步

    5. “编辑属性”前面也不要勾上,直接点完成

    6. 可以看下雏形出来了

    7. 双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾

    8. 点击上图中的"添加"出现下图:

    9. 点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有,也就是待会下面所讲的阻止所有的端口及IP访问

    10 .点击上图中的“添加”弹出如下窗口:地址我们就都选“任何IP地址”

    源地址:就是访问的IP地址

    目标地址:就是主机的IP地址

    11. 设置完地址后再设置协议,可以下拉看到有很多种,这里也就设置任意

    12. 点击上图中的确定,再回到“新规则属性”下面,之前设置的是“IP筛选器列表”,现在设置“筛选器操作”

    13. 我们要添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。我们先点常规,改个名“阻止”,然后确定。

    14. 上图确定好后,再看“安全措施”,选中“阻止”

    15. 上图确定后,我们就可以得到如下窗口了。我们会发现有“允许”,有“阻止”,这就是我们想要的,我们点击阻止;还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。

    16. 上面都设置好了,确定好后我们再回到最原始的窗口也就是“IP安全策略属性里”我们可以看到一个“阻止所有”的策略了

    逐个放行:

    这上面就是一个阻止所有的策略了,下面我们要逐个放行,其实具体过程和上面是一样的;设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389

    17. 还是和“阻止所有”里一样的操作,只不过换成允许远程

    18. 下面就是筛选操作了。如果本地的IP是静态的或者IP是动态但经常在那个几个范围内变化,那么建议使用一个特定的IP子网;然后目标地址就是“我的IP地址”,如果本地IP动态的根本无法确定时就用“任何IP地址”

    19. 设置完址后再设置协议。远程访问用的是3389端口,协议类型是TCP,就按照图中设置:

    上面确定完之后还要设置筛选器操作里面选择“允许”不然就没用,具体回到步骤15看一下。

    远程允许后最后再让策略生效:右击IP 安全策略,指派就可以了

    除了上面放行的3389端口之外,实际生产环境中还要放行80端口不然别人访问不了你的网站,如果你的网站在调用时还要访问到别人的网站那么还得放行服务器对外的80端口号(因为阻止所有里是不管对外还是对内的端口都是封着的)。

    数据库的端口一般建议别放行,可以直接在服务器里操作,如果非要在本地连接数据库的话可以和远程连接设置一样,放行相关的IP就行。

    还有其他的一些端口可以根据自己的需要进行放行。

    刚开始设置时可能会出错,如果一出错就可能导致你无法远程,这里提供个解决方法:防止安全策略或防火墙配置错误而导致远程无法连接 

    另外,有时可能出现打开安全策略报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)” 这个是由于服务“IPSEC Services”没有开启。

    总结:做IP安全策略对服务器的安全有很大帮助!

    原文链接:http://www.splaybow.com/post/windows-ipsec.html

    使用命令创建安全策略

    IPSec 是一种开放标准的框架结构,它通过使用加密安全服务来确保 IP 网络上保密安全的通信。Windows 的 IPSec 执行基于由 Internet 工程任务组 (IETF) IPSec 工作组开发的标准。

    IPsec 可建立从源 IP 地址到目标 IP 地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介不安全,因此在各自的终端上处理安全性。

    IPSec 策略用于配置 IPSec 安全服务。支持TCP、UDP、ICMP、EGP等大多数通信协议,可为现有网络中的通信提供各种级别的保护。可以根据计算机、域、站点的安全需要来配置策略。

    IPSec 策略由常规 IPSec 策略设置和规则组成。 下面以命令行的角度讲述 IPSec 策略的创建和使用,比较直观。

    代码如下:

    REM 1.创建策略
    netsh ipsec static add policy name="某IP策略"</p> <p>REM 2.创建筛选器操作
    netsh ipsec static add filteraction name="阻止" action=block
    REM netsh ipsec static add filteraction name="允许" action=permit</p> <p>REM 3.创建筛选列表
    netsh ipsec static add filterlist name="某筛选列表"</p> <p>REM 4.创建筛选器
    netsh ipsec static add filter filterlist="某筛选列表" srcaddr=any dstaddr=me dstport=8080 description="8080端口访问控制" protocol=TCP mirrored=yes</p> <p>REM 5.创建策略规则
    netsh ipsec static add rule name="某筛选规则" policy="某IP策略" filterlist="某筛选列表" filteraction="阻止"</p> <p>REM 6.激活策略
    netsh ipsec static set policy name="某IP策略" assign=y

    原文链接:https://www.jb51.net/os/windows/282928.html

  • 相关阅读:
    浅析NetFilter和iptables
    关于skb_header_pointer函数
    Linux kernel 绝对路径之d_path篇
    几个内核函数:filp_open、filp_read、IS_ERR、ERR_PTR、PTR_ERR
    一文读懂数字签名
    Nginx配置文件nginx.conf中文详解(总结)
    nginx 重写 rewrite 基础及实例
    最完美解决Nginx部署ThinkPHP项目的办法
    nginx中的try_files指令解释
    js电话号码正则校验--座机和手机号
  • 原文地址:https://www.cnblogs.com/guantou1992/p/12771640.html
Copyright © 2011-2022 走看看