2023年11月28日发(作者:)

Windows系统在IP安全策略中限制某个IP访问某个特定端⼝

Windows服务器的某些端⼝暴露在公⽹中具有很⼤风险,不想让任意IP可以访问这些端⼝,可以在防⽕墙或者IP安全策略中添加规则限制。

⽐如想禁⽌192.168.0.1(也可以是个⽹段:192.168.0.1/24)访问本机的3389端⼝,可以在IP安全策略中添加如下规则:

1.控制⾯板-管理⼯具-本地安全策略-打开IP安全策略

2.右键-管理IP筛选器列表和筛选器操作

3.IP筛选器列表中点击添加,并取名

4.在该页⾯下继续点击添加,可以取消勾选使⽤"添加向导",⽐较快速。

在源地址中选择⼀个特定的IP地址并输⼊你想屏蔽的IP,⽬的地址选我的IP地址

点击确定,可以看到配置的此条规则的内容,包括源地址,⽬标地址,源端⼝,⽬标端⼝,协议等内容。

可以看到⽬前配置表⽰将192.168.0.1"我的IP地址"的任何端⼝,任何协议都加⼊了筛选器。⽽我们想要的只是不让访问"我的IP地址"

3389端⼝,所以需要将协议及⽬标端⼝也明确。

点击刚才添加的规则-协议,可以看到默认的就是任何协议,根据实际端⼝⽤的协议进⾏选择,⽐如3389远程桌⾯⽤的tcp协议,选择tcp

议,并指定从任意端⼝到此端⼝3389(只有选择了指定协议之后才能指定端⼝)(某些端⼝⽐如dns53端⼝tcpudp协议都使⽤,需要确认

具体想屏蔽哪⼀个协议,如果不想让任意IPdns进⾏查询,那需要屏蔽使⽤udp协议的53端⼝,如果选择错了存在的漏洞还是会探测出来)

5.继续点击确定,再点确定,回到了最开始的管理IP筛选器列表和筛选器操作,刚才添加的是管理IP筛选器列表,现在需要管理筛选器操

作。

取消使⽤"添加向导",点击添加。在安全⽅法中选择"阻⽌",在常规中对此规则起名字。

点击"应⽤""确定"

6.此时在IP安装策略中还是不能看到刚才配置的新策略,和之前⼀样为空。需要继续设置。

右键-创建IP安全策略,命名为"限制特定IP访问3389",下⼀步。

不要勾选"激活默认响应规则",下⼀步。选中"编辑属性",然后点击完成。

7.进⼊刚刚创建的编辑"限制特定IP访问3389"的属性,点击添加,还是不要勾选使⽤添加向导。

IP筛选器列表中选择最开始创建的"禁⽌192.168.0.1访问3389端⼝",在筛选器操作中选择"屏蔽特定IP访问3389",起太多名有点乱,最好

还是在⼀开始创建的时候都⽤⼀个名字。

点击确定,再点击确定,可以看到此条策略已经出现在IP策略中了。

8.右键此条策略,选择"分配",此时禁⽌192.168.0.1访问本机的3389端⼝的策略才算配置成功。(禁⽌某个⽹段访问某个端⼝,或者允许某

IP访问某个端⼝可以照着做)