安全策略

IP安全策略，簡單的來說就是可以通過做相應的策略來達到放行、阻止相關的端口；放行、阻止相關的IP，如何做安全策略，小編為大家詳細的寫了相關的步驟：

解說步驟：阻止所有：

打開本地安全策略：

開始－運行－輸入secpol.msc或者開始－程序－管理工具－本地安全策略

彈出來的窗口中，右擊IP安全策略，在本地計算機

1.　創建IP安全策略：

2.　進入配置向導：直接下一步

3.　直接就命名：IP　安全策略，然后下一步

4.　“激活默認響應規則”不要勾上，不要勾上，直接下一步

5.　“編輯屬性”前面也不要勾上，直接點完成

6.　可以看下雛形出來了

7.　雙擊策略，彈出窗口IP安全策略屬性；去掉“使用添加向導”前面的勾

8.　點擊上圖中的"添加"出現下圖：

9.　點擊上圖中的“添加”彈出以下窗口，命名名稱為，阻止所有，也就是待會下面所講的阻止所有的端口及IP訪問

10　.點擊上圖中的“添加”彈出如下窗口：地址我們就都選“任何IP地址”

源地址：就是訪問的IP地址

目標地址：就是主機的IP地址

11.　設置完地址后再設置協議，可以下拉看到有很多種，這里也就設置任意

12.　點擊上圖中的確定，再回到“新規則屬性”下面，之前設置的是“IP篩選器列表”，現在設置“篩選器操作”

13.　我們要添加一個阻止，先做一個阻止所有端口、IP訪問進出的操作，然后再逐個放行，這個應該可以理解。我們先點常規，改個名“阻止”，然后確定。

14.　上圖確定好后，再看“安全措施”，選中“阻止”

15.　上圖確定后，我們就可以得到如下窗口了。我們會發現有“允許”，有“阻止”，這就是我們想要的，我們點擊阻止；還有就是記得同時也要點上“IP篩選器列表”里的“阻止所有”不然就沒有具體的操作對象了。

16.　上面都設置好了，確定好后我們再回到最原始的窗口也就是“IP安全策略屬性里”我們可以看到一個“阻止所有”的策略了

逐個放行：

這上面就是一個阻止所有的策略了，下面我們要逐個放行，其實具體過程和上面是一樣的；設置“IP篩選器列表”可以改成允許相關的端口，比如說“遠程”那么默認的遠程端口就是3389

17.　還是和“阻止所有”里一樣的操作，只不過換成允許遠程

18.　下面就是篩選操作了。如果本地的IP是靜態的或者IP是動態但經常在那個幾個范圍內變化，那么建議使用一個特定的IP子網；然后目標地址就是“我的IP地址”，如果本地IP動態的根本無法確定時就用“任何IP地址”

19.　設置完址后再設置協議。遠程訪問用的是3389端口，協議類型是TCP，就按照圖中設置：

上面確定完之后還要設置篩選器操作里面選擇“允許”不然就沒用，具體回到步驟15看一下。

遠程允許后最后再讓策略生效：右擊IP　安全策略，指派就可以了

除了上面放行的3389端口之外，實際生產環境中還要放行80端口不然別人訪問不了你的網站，如果你的網站在調用時還要訪問到別人的網站那么還得放行服務器對外的80端口號（因為阻止所有里是不管對外還是對內的端口都是封著的）。

數據庫的端口一般建議別放行，可以直接在服務器里操作，如果非要在本地連接數據庫的話可以和遠程連接設置一樣，放行相關的IP就行。

還有其他的一些端口可以根據自己的需要進行放行。

剛開始設置時可能會出錯，如果一出錯就可能導致你無法遠程，這里提供個解決方法：防止安全策略或防火墻配置錯誤而導致遠程無法連接　

另外，有時可能出現打開安全策略報錯“在保存ip安全數據時出現下列錯誤：指定的服務并未以已安裝的服務存在。（80070424）”　這個是由于服務“IPSEC Services”沒有開啟。

總結：做IP安全策略對服務器的安全有很大幫助！

對腳本編程感興趣的朋友可以看看洪哥的這篇文章：使用netsh命令來管理IP安全策略