限制3389 和指定连接终端地址

当我们把终端服务开启后，可以方便管理远程服务器，但同时也给服务器带来了一定的威胁。为了服务器的安全，我们可以通过设置安全策略限制连接终端服务的ip及网络假设我们的终端服务器的ip为20.1.1.88,为了服务器的安全呢，我们只允许20.1.1.99地址的链接终端，首先我们要在ip策略里新建一条策略，拒绝任何ip端口连接到本机的3389端口，然后在建一条规则，只允许192.168.100.34这个ip连接到服务器的3389端口，这样建的规则就会在拒绝规则的上方，实现一个ip的筛选。建立拒绝任何ip连接到服务器的3389端口的规则 环境是VM　2003 又IP　一个为172.168.8.23　另一为　20.1.1.88

set 1
建立拒绝任何ip连接到服务器的3389端口的规则
在命令行中输入gpedit.msc，运行组策略。如图





set 2
打开组策略之后，选择“计算机配置”――“windows设置”――“ip安全策略”，然后右击创建ip策略




set 3
进入如上图所示的ip安全策略向导，点击下一步――下一步（将策略命名为deny any ip for 3389 port ），当弹出警告时，选择“是”――“下一步”



查看新建的ip策略。如图




set 4
查看自己新建的“deny any ip for 3389 port”，右击“属性”。


单击添加，下一步－－－－下一步　直到如下图



　　添加后得到下图
　　　　


　　　　在单击添加－－－下一步－－－－下一步

set 5








set 6

然后点击“下一步”，在ip协议类型选择tcp协议



点击“下一步”，把目标端口改成3389




Set 7
点击“下一步”，然后点击“完成”――“确认



弹出“ip”筛选操作。点击“添加”如图




Set 8

点击“下一步”，给筛选器设置操作名称，如图：




单击“完成

set 9

点击“完成”后，在筛选面板上选择“阻止”，单击“下一步”如图




点击“下一步”――然后点击“完成”。

最后点击“确认”后，右击“deny any ip for 3389 port”指派刚新建的策略，使其生效

　　　这样一个服务器就拒绝所有的IP地址
　
　　　因为时间关系　省略些步骤
　　　　允许20.1.1.99IP　可以远程的话　，在上文中　Set 5 选择：一个特定的IP地址，　Set 9 中选择:许可 其它不变

　　　　　　　　　　
本文出自 “有孔必入” 博客，请务必保留此出处http://intologin.blog.51cto.com/7187650/1222677