Windows系统在IP安全策略中某个IP访问某个特定端⼝
Windows服务器的某些端⼝暴露在公⽹中具有很⼤风险,不想让任意IP可以访问这些端⼝,可以在防⽕墙或者IP安全策略中添加规则。⽐如想禁⽌192.168.0.1(也可以是个⽹段:192.168.0.1/24)访问本机的33端⼝,可以在IP安全策略中添加如下规则:1.控制⾯板-管理⼯具-本地安全策略-打开IP安全策略2.右键-管理IP筛选器列表和筛选器操作3.在IP筛选器列表中点击添加,并取名
4.在该页⾯下继续点击添加,可以取消勾选使⽤\"添加向导\",⽐较快速。
在源地址中选择“⼀个特定的IP地址”并输⼊你想屏蔽的IP,⽬的地址选“我的IP地址”,
点击确定,可以看到配置的此条规则的内容,包括源地址,⽬标地址,源端⼝,⽬标端⼝,协议等内容。
可以看到⽬前配置表⽰将192.168.0.1到\"我的IP地址\"的任何端⼝,任何协议都加⼊了筛选器。⽽我们想要的只是不让访问\"我的IP地址\"的33端⼝,所以需要将协议及⽬标端⼝也明确。
点击刚才添加的规则-协议,可以看到默认的就是任何协议,根据实际端⼝⽤的协议进⾏选择,⽐如33远程桌⾯⽤的tcp协议,选择tcp协议,并指定从任意端⼝到此端⼝33。(只有选择了指定协议之后才能指定端⼝)(某些端⼝⽐如dns的53端⼝tcp及udp协议都使⽤,需要确认具体想屏蔽哪⼀个协议,如果不想让任意IP对dns进⾏查询,那需要屏蔽使⽤udp协议的53端⼝,如果选择错了存在的漏洞还是会探测出来)
5.继续点击确定,再点确定,回到了最开始的管理IP筛选器列表和筛选器操作,刚才添加的是管理IP筛选器列表,现在需要管理筛选器操作。
取消使⽤\"添加向导\",点击添加。在安全⽅法中选择\"阻⽌\",在常规中对此规则起名字。
点击\"应⽤\",\"确定\"。
6.此时在IP安装策略中还是不能看到刚才配置的新策略,和之前⼀样为空。需要继续设置。右键-创建IP安全策略,命名为\"特定IP访问33\",下⼀步。
不要勾选\"激活默认响应规则\",下⼀步。选中\"编辑属性\",然后点击完成。
7.进⼊刚刚创建的编辑\"特定IP访问33\"的属性,点击添加,还是不要勾选使⽤添加向导。
在IP筛选器列表中选择最开始创建的\"禁⽌192.168.0.1访问33端⼝\",在筛选器操作中选择\"屏蔽特定IP访问33\",起太多名有点乱,最好
还是在⼀开始创建的时候都⽤⼀个名字。
点击确定,再点击确定,可以看到此条策略已经出现在IP策略中了。
8.右键此条策略,选择\"分配\",此时禁⽌192.168.0.1访问本机的33端⼝的策略才算配置成功。(禁⽌某个⽹段访问某个端⼝,或者允许某个IP访问某个端⼝可以照着做)
