1、windows-配置IP訪問策略windows配置IP訪問策略附件：配置IP安全策略禁止訪問1 1、打開組策略編輯器，在運行中輸入 gpedit.mscgpedit.msc 2 2、1 1、打開：計算機配置WinodwsWinodws 設置安全設置IPIP 安全策略，在本地計算機寶件揉作M CV)幫助Qt)4 哺15題B同旨貞：號甞館計算札-荒略-鬲計算機配S*io訓壯董il O Windowt設 勻本JB動僥機 三 安設* ” 鞍戶略； LS本地1W忡：舍也集略r*- J世鯉型型Ea蹇 可O昔浚祖領F用尸配0* a軟件iss tCJWindOHiTSSsCJ港理檔観名稱_1奈0毎 因親止訪問

2、$眾1古述奈止討琳析育If通訊總最便用K*rbMflffi- ,正Wil囂你安鈿!)轉用軟U囪響a叛 期圻？ItliftMl!用總材 gftft，3 3、在“IPIP 安全策略，在本地計算機”單擊右鍵，選擇“創建 IPIP 安全策略”J 耳|包回|5|115|11）曲I I簡圭4、輸入策略名稱“禁止訪問 15211521 ”，然后選擇下一步 選擇“激活默認響應規則“，然后選擇下一步 選擇” 選擇 ActiveActive DirectoryDirectory 默認值（KerberosKerberosV5協議）“，然后選擇下一步 彈出警告框，選擇是 選擇編輯屬性，點擊完成。5 5、選擇添加3?才

3、曲地計規機-黃略0鯉計苴機配置:同 n 軟件謖晝j曰“nlav E設置i 1: Bm E動F關機）i：0邯安全設置&衛帳戶策喀i:0-_本地策咯ii由二I金鑰策暗i；0二I翌聽零丨田“二J管理穆 &直3用尸配置a-二I軟謖豊QO 、1 W1 nla* s設養0-_|昔理模枚名稱因止佔gi緊止訪問1S龍1目服務器（請求安全）6i客尸誦 僅響應對安全服務器壽要I描述禁止4臨時所有n通訊總是使用Ke正常適訊邱安金:的h便用 対所有1T通訊總是使用Ee所有枉第at）査看電）弩肓安全策略口_晶和苴它計谿機通訊的安全規MJIF安全m :港加I輪輯電- I刪除I 17佼用乂忝加同導”確定I取

4、消IIFffl 選黑劌喪0戲態默認響應KerbKerb eroseros6、選擇下一步妾讎續-諸單擊下一歩0安全操件：-IF隧道操住雇性-身份號證方注-篩選器操作gWIKfegWIKfe歡迎使眉創建IP安全規則向導勰髓昭慮卿與寸 5址1 上歩ICE査空左!腿消I上一歩Q）|下 1 步皿1職消7、選巳“此規則不指定隧道”e遺終皓査器騒膵罷氐歸目標的隧這操榔博鵡正如璉艦的 蕓鬍鷄怦包在酣計算機刖婕的專鹿竝安全豳逋過公甬 獵定IT安全規則前隧道終結點：a理規團丕程定腫直匡”r隧道冥結點由下列IF地址指 WQXII&選擇“所有網絡連接”點擊下一步網樹類型寶全規則必獨應用到一種網箔笑型選擇陶絡類

5、型：揮所育廨g達接;H H *4*4 H HH H H H .H H H H 廣局就網訕r遠程訪問（1）上_步 I下一步 切1取消ir站進器列春請対采用這?安金規則的ir il信笑型選彈ir篩選器表如杲下面滋有蔚合您需要的IF篩讀器，請單擊“添加”來創逹新的ir需選器列表:10、輸入“名稱”然后點擊添加聲曙施恥辭組亦裁冬亍子囤工卩地址和協迎可被名稱1描述O禁止皿5O所有MF JITR.適用于該計算機與任何苴，O所有IF通訊適用于諫計算機到任何其.I瀟側 丁 騙涓g)-. I刪際I上1 1歩Q)|下 1 歩迦|職消9、選擇“添加”xl2dlihiszi描述迪）31|7使用添抑時導電)鏡像1述1源

6、靖口目標誦口4|12J確定取消1?篩選器Q):11、然后連續點擊兩次下一步，直到下彈出下面窗口，源地址選擇“任何IP地址“，點擊步。IF通信養捋定ir通信的濾地址。源地址:C上一齒Q)下一步迦| 取稍12、目標地址選擇“我的IP地址“ 片十， 點擊IF通信目標指定rr通信的目標地址.目標地址:上1步）|下 1 步辺）| 取消I1313、IPIP 協議類型選擇“ TCPTCP “，點擊下一步ir協a類聖遶擇IF協儀類型-如果類型是TCF咸WP,您將同時拾定源和目標端 口.選擇協夷型嘔）：E上1步邁）|下 1 步辺）|取消1414、IPIP 協議端口，選擇“從任意端口 “到”15211521 端口

7、“， 點擊下一步然后點完成。IF協說韭口許多Tcrir應用程序協崖立在常用的Txr或wr端口上.設詈IT砂靖口：(T從枉意祐口1Dr從此端口-r到 ft 意喘口dJ氏到此端口：|1S21上1步1下 1 步曲1取消15,15, 打開規則屬性頁面，選擇“篩選器操作“頁面輯擔剣雇性IF備這器列看 諦選器操炸I身份驗證方法I隧道決S 1 il接菟型IjjasjiX X衙翳驚嚳離定了止渕則務劇敢何來施篩選器舉作0)：攝赍不安金的逋訊，但是請求 接賢不蚩全的iitR,但魁是諸. 允許不安全戲IF數據包經過匚確定I取消I應用IO請求安全冋選)O需要安全O許可濡加Q)I編輯刪除 0)I 17便用擁加向導”迎C

8、上一歩邁）|下一歩H取消16、輸入名稱選遙操非名萌i命這牛満選器按作并提詵一于簡單的描述- 名稱血:pjh描述（!）上 TI下一齒応）1取消I17,17, 選擇“阻止“，點擊下一步，然后點完成。r許可（）骨亀止ir曲裔安全1818、選擇新建的篩選器，然后點擊應用。編輯規則屆性IF篩選器列表 篩選器熬作I身份臉證方法I變道謚置1達搖奕型1轍觀 Ttg 協商ME喀稱接竟不安全的通訊冷旦是詰去I接受不妥全的通訊 但總是諳 允許不安全的ir數據包經過.I確定I取消應用I1919、在新建策略上單擊右鍵，選擇“指派“文件操作查看幫助alilB X冒QgJ釦迫士d團濡加）.I鏑輯i冊除IW使用杯廉加向導”C

9、W）機”策略（I配蛙:件設萱.Tidjf它設疊1卿本啟動？關機）i寰全設置L3帙戶策嘻.L3本地策轄 ;公鑰策略駅件限制策略M IP妄全策略，在本地計算機I I 0 0 .宙述禁止取5孚稱-蠢禁止職5E 呷FN豈服務器儔11辰1客戶端（惻所有任務卜重命名（W雇性密2020、在運行中輸入“ gpupdategpupdate環安全的）F通訊總是厠“回車，更新本地安全策略。O諼龍安全回選）O需驀妥全O許可只允許特定主機訪問 445445 端口要設置只允許某個特定主機或網段訪問445端口（同樣可應用于其它端口號）其步驟如下：一、 首先建立一條組策略（組策略中包含“策略 拒絕所有主機訪問445端口策略和

10、“允許特 定主機訪問445端口”二條子策略）二、 建立子策略一 “策略拒絕所有主機訪問44?端口”三、 建立子策略二“允許某個特定主機或網段訪問445端口四、 添加子策略到組策略中（使用gpupdate命令） 更新組策略。步驟與截圖如下：、建立組策略1.開始菜單-運行-gpedit.msc進入如下圖所示 位置，并隨機附圖所示依次點擊,并指派策略生效并i M)T ftjRxRx J JrDhttiMatbviiMatbviZs sArfHVlUArfHVlU itiitinunuMU*MU*. .M MR Rll n n*nvw*nvw QiaiiQiaiiKaUNBIFIF安全策略1111導I

11、F安全策名命名這個IF安全策略并且給岀一個簡短的描述名稱);允許特走主機訪問4心端口描述Q)：1安全s訊請求指定這個策略如何對安全通訊的諸求作出響應-IFIF安全策略1111導UNBUNB餐醐卿翩魁磁蠶鑑 gg 為1取消I出現警告點擊 “是”IFIF安全策略肖導戢認應111身倚墓證方抵要勵瞎身份驗證方荒、在完威該向導之后請編輯默認響應規則為此安全規則設g初始身份驗征方法;疔Active Cirettcry默認值餉r乂“s V5協議）r使用由妣證書頌監機構C1）頡發的il書C）:廠U低弓話走中卑滁匚h名豹QP廠呂用節a帳戶的映射f?）C便用此孚待串保護巒霸交換飯共享塞鑰）皂）：警告薩蠱耗聲黃義駕

12、騙曇疆書雀鶴翩認餐虹這臺星世）I苦I職消善告!2d點擊完成問，依下圖所示步驟操作。IFIF安全策略肖導正在完成IP安全策略向導罐S S成功地完成扌爐*燃的新IPIP妥全策略的雇性口要立即編輯你的住安全策鳴諸選擇，編輯屬陸然 后單擊成”O O請單擊完成乘關訊此向導.上一步Q)|兗成I職消二、建立子策略“策略拒絕所有主機訪問445端口”建立一條策略拒絕所有主機的445端口訪I確定I職消I去掉“使用添加向導” 的勾選，并點擊添加:I確定I職消I蟲和耳它計算機通訊的安全規則IF Mj(xrIF甦遜嘔I甦理作Eli鈕臨默認咽應EertercsEertercs缶h h 0 0 0 0 “ HMHM kHJ

13、BMkHJBM 1*J1*J HBMIHBMI HJHJ lUlU t*Jt*J HI!HI! HIHI HJHJ H H UJUJ HIMHIM IKIIKI HMHM J J HIHI BJBJ UJUJ HIMHIM *i*i “ b bJ J添加.V V I I騙輯I I冊除I I廠使用罰添加向導”“添加?1x?1xE E觴睡器死表指定了哪伽窩輸將受映rw適用于該計算機與 ft 何耳iti計,適用于該計g機到任何苴Id計.n n屮0M-0M-”.iiiriiir IIII IIII1 1編輯刪除動_ _ I I-.Il-.Il. “；- -； I I I:I:. . ； 0;0; I

14、I丄I確定I職消I應用J輸入策略名稱“拒絕所有445端口訪問”，并點I I添加”,進入IP篩選器向導名稱0所有OTF迪訊O所有IF適訊2S1J J案聘畫報諦選器鉅成這樣環子陽IP地址和協滾可彼取消IIFIF待選器育導 IF il倍需要的憑、目標和通信UM名稱帝選器向導1 步” IFIF茄適器插逑和養S S屋性使用此S S述寧段來曲走irir篩選器的名秫或詳細屏釋. 選擇鎮像的復選框來宵每一于方向指走一平篩?器臣龍巖 與桃地址和目標地址正好豐皈的數據包相匹配繼)上一歩Q)|下一步oa) ”職消源地址指定為“任何IP地址”IFIF iiii信指定TfTf通信 ti 則地址.上一歩Q)下一步oa)

15、”職消目標地址指定為“我的IP地址”協議類型選擇為“TCP”IFIF荷選哥自導IFIF toiStoiS尖型選樣TFTF如果尖型是TCTTCT或叩F,F,您將同阿指定源和目標端口 選擇協奘型：RBHZI呂IFIF ilil信目標指宦TFTF通信的目標目標地址)：isoima上一歩Q) I下一步oa) ”職消職消“允許/阻止”該流量O端口設置如下，到此端口輸入445:ir KHSS口許窯TCr/IF應用程序協餓楚立在常用的TCr或UDF端O上.設置IF協議端口 : 存從枉意端口退)C航此諦口 .r到任意端口Q)到妣諦口(Q)-點擊下一步完成。進入到“篩選器操作”選項卡,為本條策略設置UN上一歩Q

16、)下一步迦 計職消? ? X X話框，選擇“阻IF誦逵器列表L腕鴦蠻fH|身驗證方法I隧道設SI連接類型1X X蠶爵蠶彗擅定了毗規颶吾協畫忠咽乘保征篩選器躁作電）:接曼不安全的逋1 1但是潔求 接赍不安堂的通詡I I但總是諳. 允許不安全的IFIF數據包經過.添加0）I編羯I刪W I廠使用添抑向辱”迪關閉I広二I應用 O請求左全冋選）O需要安金許可? ? X X話框，選擇“阻同樣去掉“使用添加向導”并點擊添加。出現對由于阻止操作并未出現在默認選項中加。在“常規”選項卡中輸入操作名稱，點擊確定完成。新籀選器提作g性zJijsJ廠接竟不安全的通R怛總是用IFSeu呃應QE)r允許和不支持ips的計

17、算機進疔不受全的通i亂逬)廠使用會話蠱鑰軽向前燥巒(Trs)新籀選器提作g性 I選擇剛剛新建的“阻止阻止所有主機訪問本機的445端口策略設置完 畢。”操作，點擊應用，至U此I確定I取消I新規則S性X X驢鶴勰呷了咧是否吹如何來保證名稱I I0 0諳求安全 冋選）接受不安全的逋訊，但是諳求-0 0需要安全S S受不安全的訊，但總是諳.0 0許可尢許不安全的IFIF數擔晦過.t t JzJz - - .0.0 . . *4M*4M MifMif MMMM If*If* HtfHtf iMdiMd ifiifi MfeMfe fiMfiM MifMif MMMM Ifi*Ifi* BMfBMf iM

18、diMd ifiifi MfeMfe ViMViM MifMif MMMM fefi*fefi* bMfbMf iMdiMd “ itart*itart* ViMViM M*fM*f MMMM fefi*fefi* BMfBMf iMdiMd “ *M*M* ViMViM M*fM*f MMMM ” M*M* iM*iM* “ *M*M* ViMViM M*iM*i創館止添加Q) I編輯I鵬I廠便用“添加向導秒色)關閉I取消I應用I晶 和其它計算機通訊的安全規則IP安全規則a):添加)I編輯)I刪除型I廠 便用鮮添加可導” 0)UNUNIfflassHtIPIP希遶3838列轟_ _ _0 0

19、苑絕所有血捷口訪間-ffl 正 * * hhhhhh * * 4 4 P P b._b._ JU-JU- . . I*I* hh-hh- +h+h *4*4 O3SO3S軼認響應身份驗證方法I隆尿W*W* Wt*Wt* * * 4 4 4 4 4 4 4 4 . . . . 4 4 . .I確定I取消 再次點擊“添加”晶和其它計算機通訊的安全規則1F安全U:嚇邂題墜0呃絕廂看亦麗疋詩同團正UlHUlH HJIHJI ILHILH HJHJ* * AJIBIILHIIIBLHBIILAJIBIILHIIIBLHBIIL HJHJ IHBIIIIHBIII HJHJ U U U U LBiBLBi

20、B H H LHlLHl I IEl勧態_ 歓認呃應1漆加動I I鍋輯電I I冊除)I I廠倭用血添加向導”1)1)三、建立子策略“允許訪問本機的445端口”U U HI!HI! ILIIIBHIBIILIIIBHIBI * * HBIIia*JIHBIIia*JI IIHBIIIIIHBIII 1.1.K K irbeiro$irbeiro$0 0丁篩選器列表篩選器探作I身份驗證方法I隧直設SI産接糞型IE麟專P篩選器列希癥了時網路隹輸將受吐飆名稱宙謹I . . & &. . LIIIBLIIIB . . JBIIIUIIBIIkBIIIBLJIBIIIJBIIIUIIBII

21、kBIIIBLJIBIII IIBJIIBJ . . ._ _. ._ _ IIHIIH LBIILBII o 涯絕所有礬日端口訪問i iO所有ICHF邇訊適用于謹計S機與任何苴他計.O所育HF通訊適用于該計算機到任何苴W+.添加動I舗輯”I冊除） I確定I I取稍I應用匚）I假設遠程主機IP為172.仃651,輸入策略名稱“允許1訪問445端口”hIF篩選器列表是由窯個篩選器鉅成-祎-名個子網、IF地址和協詼1可彼士綜合進一亍ir篩選器，爭稱0）._I允許1T2. 1T6 51訪問理軒端口 描述.IF諦選黑：P使用冊響導址）銳像描述通訊協諫源端口L目標端口完成后，去掉“使

22、用添加向導”并點擊“添AjAj12J1確定1取消1 ”加”，源地址設置為你需要允許訪問的IP地 址。目標地址選擇我的IP地址，地址選 項卡設置完成。3IF地址 :I 172 , 17.E. 51冋庵舉遁-I.255 .255 . 251.-目標地址匹:F證像-與源地址和目標地址正好相反的數曙包相匹配電h進入“協議”選項卡，作如下設置，并點擊 “確定”完成添加操作。一個特定的rp地址地址W I捲述1選擇協ii類型C）：TCP創F設置n協改m口： 冷擬任意端口回尿此端口 ）：r到任意端口c）a 到此端口Q）：（445確定I取消I再次點擊確認完成操作5星#畫舷沁瞬爼宓吐-紗子網、IF地址和協演可彼2

23、J爭稱：允許1吃.1T61訪冋也5端口-3創PnPn使用血洞導帕解口 詢 氓何一f f H H H H . H H . . H H H H H H . H H H H H H H H . H H LHLH M M . . . . H H H H 1 1 H H . HIHIIF諦選黑:描述目標端口I I B B H H H H I I4451111I確定I取消I “-%到此我們可以看到有二條IP篩選策略已經添加完成。四、添加子策略到組策略退出所有策略編輯，回到組策略編輯器。右擊-屬性，把編輯好好二條策略添加到本組。T!ITCITCIh- - _ _I I rjbJ_nErjbJ_nE tff-

24、ftff-fmimi J J t tF FILILI I L LI*I*職 h h 皿片縣*L*LngSngS贏和其它計算機通訊的安全規則IF妄全MJcX)：IP誦選蠱列表I篩選誥操作戈份驗證方注J鱷道毀0 0礙、WWWWEerBerEerBer；. .匕LHJILHJI ILHILH ! !*!* lUJIBMiaMIBlHBIILlUJIBMiaMIBlHBIIL KJKJ IHBIMIHBIM U U U U lUlU H H IMIM !*!* KIKI IIHBIIIIIHBIII IKlIKl HMHM H H 1*J1*J H H UJUJ IHBIMIHBIM U U 添加動I

25、輪輯I冊除)I廠倭用添加向導”1)注：此處需要一條條的添加，我們先添加“拒絕所有445端口訪問”端口訪問”I確足I取消應用I點擊“添加在“IP篩選器列表”(_L445丁篩選器列表篩選器探作I身份驗證方法I隧直設SI産接糞型IE E麟專P P篩選器列希癥了時網路隹輸將受吐飆名稱宙謹I . . & &. . LIIIBLIIIB . . JBIIIUIIBIIkBIIIBLJIBIIIJBIIIUIIBIIkBIIIBLJIBIII IIBJIIBJ . . . . _ _ . . _ _ IIHIIH LBIILBII 涯絕所有礬5端口訪問i iO所有ICHF邇訊適用于謹計S機與

26、任何苴他計.O所育HF通訊適用于該計算機到任何苴W+.iT.e. 51訪問44端口添加動I舗輯”I冊除I確定I取稍I應用)I在“篩選器操作”中選擇“阻X鑑聽的了臓則務協商ME篩選器操ft X）:名稱描逑0詰求安全選）接麥不安全的通訊J但是諳我，O需要安全播竇不負全的邇訊1但總杲諱O許可允許不安全的IF數據包鏗過.a 阻吐確定I取稍I應用1點擊確定完成。添加勸騙輯I刪除II廠使用，満加聞導（1）贏和其它計算機通訊的安全規則IF妄全MJcX）：嚇選遷塑_I蹙遇瑕隹_0呃輛滯歸1|正_尿 _匕HJIHJI ILHILH ! !*!* lUJIBMialUJIBMia KJKJ IHBIMIHBIM U U U U lUlU H H IMIM !*!* KIKI IIHBIIIIIHBIII LKlLKlHMHM 0 響應Eerijeros1添加動I I輪輯I I冊除)I I廠倭用添加向