Windows服務器的某些端口暴露在公網中具有很大風險,不想讓任意IP可以訪問這些端口,可以在防火牆或者IP安全策略中添加規則限制。
比如想禁止192.168.0.1(也可以是個網段:192.168.0.1/24)訪問本機的3389端口,可以在IP安全策略中添加如下規則:
1.控制面板-管理工具-本地安全策略-打開IP安全策略
2.右鍵-管理IP篩選器列表和篩選器操作
3.在IP篩選器列表中點擊添加,並取名
4.在該頁面下繼續點擊添加,可以取消勾選使用"添加向導",比較快速。
在源地址中選擇“一個特定的IP地址”並輸入你想屏蔽的IP,目的地址選“我的IP地址”,
點擊確定,可以看到配置的此條規則的內容,包括源地址,目標地址,源端口,目標端口,協議等內容。
可以看到目前配置表示將192.168.0.1到"我的IP地址"的任何端口,任何協議都加入了篩選器。而我們想要的只是不讓訪問"我的IP地址"的3389端口,所以需要將協議及目標端口也明確。
點擊剛才添加的規則-協議,可以看到默認的就是任何協議,根據實際端口用的協議進行選擇,比如3389遠程桌面用的tcp協議,選擇tcp協議,並指定從任意端口到此端口3389。(只有選擇了指定協議之后才能指定端口)(某些端口比如dns的53端口tcp及udp協議都使用,需要確認具體想屏蔽哪一個協議,如果不想讓任意IP對dns進行查詢,那需要屏蔽使用udp協議的53端口,如果選擇錯了存在的漏洞還是會探測出來)
5.繼續點擊確定,再點確定,回到了最開始的管理IP篩選器列表和篩選器操作,剛才添加的是管理IP篩選器列表,現在需要管理篩選器操作。
取消使用"添加向導",點擊添加。在安全方法中選擇"阻止",在常規中對此規則起名字。
點擊"應用","確定"。
6.此時在IP安裝策略中還是不能看到剛才配置的新策略,和之前一樣為空。需要繼續設置。
右鍵-創建IP安全策略,命名為"限制特定IP訪問3389",下一步。
不要勾選"激活默認響應規則",下一步。選中"編輯屬性",然后點擊完成。
7.進入剛剛創建的編輯"限制特定IP訪問3389"的屬性,點擊添加,還是不要勾選使用添加向導。
在IP篩選器列表中選擇最開始創建的"禁止192.168.0.1訪問3389端口",在篩選器操作中選擇"屏蔽特定IP訪問3389",起太多名有點亂,最好還是在一開始創建的時候都用一個名字。
點擊確定,再點擊確定,可以看到此條策略已經出現在IP策略中了。
8.右鍵此條策略,選擇"分配",此時禁止192.168.0.1訪問本機的3389端口的策略才算配置成功。(禁止某個網段訪問某個端口,或者允許某個IP訪問某個端口可以照着做)
