服务器安全之手把手教你如何做IP安全策略

安全策略

IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP,如何做安全策略,小编为大家详细的写了相关的步骤:

解说步骤:阻止所有:

打开本地安全策略:

开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略

弹出来的窗口中,右击IP安全策略,在本地计算机

1. 创建IP安全策略:

2. 进入配置向导:直接下一步

3. 直接就命名:IP 安全策略,然后下一步

4. “激活默认响应规则”不要勾上,不要勾上,直接下一步

5. “编辑属性”前面也不要勾上,直接点完成

6. 可以看下雏形出来了

7. 双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾

8. 点击上图中的"添加"出现下图:

9. 点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有,也就是待会下面所讲的阻止所有的端口及IP访问

10 .点击上图中的“添加”弹出如下窗口:地址我们就都选“任何IP地址”

源地址:就是访问的IP地址

目标地址:就是主机的IP地址

11. 设置完地址后再设置协议,可以下拉看到有很多种,这里也就设置任意

12. 点击上图中的确定,再回到“新规则属性”下面,之前设置的是“IP筛选器列表”,现在设置“筛选器操作”

13. 我们要添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。我们先点常规,改个名“阻止”,然后确定。

14. 上图确定好后,再看“安全措施”,选中“阻止”

15. 上图确定后,我们就可以得到如下窗口了。我们会发现有“允许”,有“阻止”,这就是我们想要的,我们点击阻止;还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。

16. 上面都设置好了,确定好后我们再回到最原始的窗口也就是“IP安全策略属性里”我们可以看到一个“阻止所有”的策略了

逐个放行:

这上面就是一个阻止所有的策略了,下面我们要逐个放行,其实具体过程和上面是一样的;设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389

17. 还是和“阻止所有”里一样的操作,只不过换成允许远程

18. 下面就是筛选操作了。如果本地的IP是静态的或者IP是动态但经常在那个几个范围内变化,那么建议使用一个特定的IP子网;然后目标地址就是“我的IP地址”,如果本地IP动态的根本无法确定时就用“任何IP地址”

19. 设置完址后再设置协议。远程访问用的是3389端口,协议类型是TCP,就按照图中设置:

上面确定完之后还要设置筛选器操作里面选择“允许”不然就没用,具体回到步骤15看一下。

远程允许后最后再让策略生效:右击IP 安全策略,指派就可以了

除了上面放行的3389端口之外,实际生产环境中还要放行80端口不然别人访问不了你的网站,如果你的网站在调用时还要访问到别人的网站那么还得放行服务器对外的80端口号(因为阻止所有里是不管对外还是对内的端口都是封着的)。

数据库的端口一般建议别放行,可以直接在服务器里操作,如果非要在本地连接数据库的话可以和远程连接设置一样,放行相关的IP就行。

还有其他的一些端口可以根据自己的需要进行放行。

刚开始设置时可能会出错,如果一出错就可能导致你无法远程,这里提供个解决方法:防止安全策略或防火墙配置错误而导致远程无法连接 

另外,有时可能出现打开安全策略报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)” 这个是由于服务“IPSEC Services”没有开启。

总结:做IP安全策略对服务器的安全有很大帮助!

对脚本编程感兴趣的朋友可以看看洪哥的这篇文章:使用netsh命令来管理IP安全策略

(0)

相关推荐

  • win2008 R2设置IP安全策略后在服务器内打开网站很慢或无法访问外部网站的原因

    win2008R2设置IP安全策略后在服务器内打开网站很慢速度只有几KB的原因 是因为IP安全策略中的关闭策略中设置了原地址"任何IP"到目标地址"任何IP"的UDP任何端口都关闭: 修改为原地址"我的IP地址"到目标地址"任何IP"的UDP任何端口都关闭,再开放53端口的UDP,我的IP到DNS的IP就可以了!这个是为了解析域名用的! 操作思路:禁止所有用户访问1433端口,只允许个别IP访问.(安全策略里面允许的优先级大于

  • win2003服务器安全设置之 IP安全策略

    服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 T

  • 利用Window自带Ipsec安全策略对服务器进行安全加固

    利用Window自带Ipsec安全策略对服务器进行安全加固

    说明:所有服务器上操作,请谨慎操作.确定后再次进行实施!仅仅是保护线路上的安全,以及网站被攻击后,客户端无法远程. Ipsec安全策略 方法:设置安全策略.采用window的IPSec进行防护.允许80 3306端口.拒绝所有其他端口连接. 1:控制面板-系统和安全-管理工具-本地安全策略 打开本地安全策略.默认是没有的.这里我已经添加一个策略. 右键属性,直接点击添加 需要注意,该安全策略的排序方法是以英文字母数字类型来排序的.a开头在下边(首次不设置为拒绝,只允许) 鉴于是客户端访问固定服务

  • 阿里云linux服务器上使用iptables设置安全策略的方法

    公司的产品一直运行在云服务器上,从而有幸接触过aws的ec2,盛大的云服务器,最近准备有使用阿里云的弹性计算(云服务器).前两种云服务器在安全策略这块做的比较好,提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器,安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好可以使用yum来安装,安装命令如下: yum install -y iptables iptables安装好后就可以来配置规则了.由于作为web服务器来使用,所以对外

  • win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明

    win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明

    第一种方法:通过iis中的ip地址和域名限制在需要设置的网站上 > 右键属性 > 目录安全性 ip地址和域名限制 授权访问与拒绝访问说明如果是授权访问,下面填写的就是拒绝访问的ip 如果是拒绝访问 下面填写的就是可以访问的ip 第二种方法:通过ip安全策略第一步:打开开始,程序,管理工具,本地安全策略 第二步:点"IP安全策略,在本地计算机",然后在右栏空白处点右键,在弹出的菜单中点"创建IP安全策略(C)" 第三步:在"IP安全策略向导&qu

  • 服务器安全策略 IP安全策略设置方法

    协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TC

  • win服务器防止安全策略或防火墙配置错误而导致远程无法连接的bat

    我们很多时候需要通过远程桌面登录到服务器上去配置安全策略或者防火墙,这是一件很危险的工作.因为一旦某个设置有误,或者漏掉了某个操作步骤,就会导致服务器无法远程连接.如果是托管在IDC机房的服务器,那还需要联系服务商去处理,还得把密码给服务商让他们进系统去停止安全策略或防火墙.总之,风险极大! 实在读一些牛人的文章的时候,就已经有人提出了这样一种思路:做一个定时任务,10分钟触发一下,把安全策略服务或防火墙服务停止掉.这样,即使是你配置错了,远程无法连接了,大不了在外面等几分钟.等时间一到,服务被

  • 服务器安全设置之-本地安全策略设置

    也可以运行中输入gpedit.msc进入 计算机配置→windows设置→安全设置→本地策略 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单->管理工具->本地安全策略 A.本地策略-->审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B.本地策略-->

  • 服务器安全之手把手教你如何做IP安全策略

    服务器安全之手把手教你如何做IP安全策略

    安全策略 IP安全策略,简单的来说就是可以通过做相应的策略来达到放行.阻止相关的端口:放行.阻止相关的IP,如何做安全策略,小编为大家详细的写了相关的步骤: 解说步骤:阻止所有: 打开本地安全策略: 开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略 弹出来的窗口中,右击IP安全策略,在本地计算机 1. 创建IP安全策略: 2. 进入配置向导:直接下一步 3. 直接就命名:IP 安全策略,然后下一步 4. "激活默认响应规则"不要勾上,不要勾上,直接下一步 5.

  • 手把手教你搭建腾讯云服务器入门(图文教程)

    本文由博主 威威喵 原创 博客主页:https://blog.csdn.net/smile_running 背景 暑假期间,愁着无聊但也不能荒废学业吧,毕竟以后想靠技术混口饭吃!为了实施自己的计划,特地挑了一个便宜的云服务器来用作自己的后台:这不是学生狗没钱嘛,所以我就挑了一个腾讯云服务器.虽说配置很低,但够我们玩就行.因为想写一个电商App,数据总不能从本地数据库来吧,那样也太没水平了!因为自己也会一点Java Web 服务器,索性租了一个云服务器,接口啥的自己写,说干就干吧. 由于本人是在校

  • Android消息推送:手把手教你集成小米推送(附demo)

    Android消息推送:手把手教你集成小米推送(附demo)

    前言 在Android开发中,消息推送功能的使用非常常见. 为了降低开发成本,使用第三方推送是现今较为流行的解决方案. 今天,我将手把手教大家如何在你的应用里集成小米推送 目录 1. 官方Demo解析 首先,我们先对小米官方的推送Demo进行解析. 请先到官网下载官方Demo和SDK说明文档 1.1 Demo概况 目录说明: DemoApplication类 继承自Application类,其作用主要是:设置App的ID & Key.注册推送服务 DemoMessageReceiver类 继承自

  • 手把手教你在腾讯云上搭建hadoop3.x伪集群的方法

    一.环境准备 CentOS Linux release 7.5.1804 (Core) 系统下 安装 创建文件夹 $ cd /home/centos $ mkdir software $ mkdir module 将安装包导入software文件夹 $ cd software # 然后把文件拖进去即可 这里使用的安装包是 /home/centos/software/hadoop-3.1.3.tar.gz /home/centos/software/jdk-8u212-linux-x64.tar.

  • 手把手教你将Flask应用封装成Docker服务的实现

    项目背景   在之前的一个项目中用Python的Flask写了一个提供公共基础服务的Rest应用,上面大佬的意思是需要将这一部分封装成容器化服务,实现快速部署.管理以保证连续可用性.你知道如何将你的Flask项目部署到Docker中吗? 大佬安排嘉宾席!不会的那咱们就接着往下看- 看完请记得点赞哟!点赞的人最可爱.偷偷告诉你们这段时间出于文章题材跟挑战面试了一些公司,也收到了一些offer!Python领域岗(大部分爬虫).点赞过一百的话我整理之后开篇专场如何?说不定里面就有你下一次要采得大坑!

  • 手把手教你AspNetCore WebApi认证与授权的方法

    前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上.赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的. 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码. 什么是JWT Json web token (JWT),是为了在网

  • 手把手教你用Java实现一套简单的鉴权服务

    手把手教你用Java实现一套简单的鉴权服务

    前言 时遇JavaEE作业,题目要求写个简单web登录程序,按照老师的意思是用servlet.jsp和jdbc完成.本着要么不做,要做就要做好的原则,我开始着手完成此次作业(其实也是写实训作业的用户鉴权部分),而之前写项目的时候也有相关经验,这次正好能派上用场. 一.何为鉴权服务 引用百度百科的话说 鉴权(authentication)是指验证用户是否拥有访问系统的权利. 鉴权包括两个方面: 用户鉴权,网络对用户进行鉴权,防止非法用户占用网络资源. 网络鉴权,用户对网络进行鉴权,防止用户接入了非

  • 手把手教你导入Go语言第三方库

    手把手教你导入Go语言第三方库

    目录 环境 环境变量 实践导包 最好的学习方式就是实践. 我们通过导入gin包来深入学习. 环境 go 1.13.5 goland 2019.3.1 manjaro-gnome3.34.2 环境变量 首先回想一下,我们安装goland的时候,设置了几个比较重要的环境变量,也就是GOROOT和GOPATH. GOROOT比较容易理解.也就是我们go语言的安装目录,标准库什么的就放在里面的.在linux中的话,默认安装到/usr/lib/go中,我们创建项目时选择的SDK也就是这个. GOPATH可

  • 手把手教你实现Java第三方应用登录

    手把手教你实现Java第三方应用登录

    目录 什么是OAuth2.0 申请网站接入 创建SpringBoot应用 实现登录流程 大家在自己做项目的时候有没有想过实现一个第三方应用登录呢?类似这种: 本篇文章就来聊一聊该如何实现第三方应用登录. 什么是OAuth2.0 OAuth是一项协议,它为用户资源的授权提供了一个安全.开放而简易的标准,OAuth的授权不会使第三方触及到用户的账号信息(比如密码),因此OAuth是相对安全的.而OAuth2.0就是OAuth的延续,不过2.0更加关注客户端开发者的简易性. 申请网站接入 常见的第三方

  • 手把手教你使用Django + Vue.js 快速构建项目

    手把手教你使用Django + Vue.js 快速构建项目

    目录 1. 前言 2. 环境准备 3. 创建 Django 项目 4. 创建 Vue.js 前端项目 5. 解决跨域问题 6. 整合 Django 和 Vue.js 前端 1. 前言 本篇将基于Django + Vue.js,手把手教大家快速的实现一个前后端分离的Web项目. 2. 环境准备 Python 3.6.1 Mysql 5.7.23 Pycharm (专业版) Node 3. 创建 Django 项目 创建完成后,目录结构如下所示 使用 Navicat 工具创建数据库 DjangoVu

随机推荐