利用Windows2003 IP安全策略实现服务器远程桌面端口（3389）访问控制

1

开始 → 运行 → 对话框中输入gpedit.msc → 确定

2

打开“组策略编辑器”

计算机配置 → Windows配置 → 右键点击“IP安全策略，在 本地计算机” →选择“创建IP安全策略(C)...”

3

在“欢迎使用IP安全策略向导”中单击“下一步”

4

在名称中填写：允许指定IP访问3389，然后单击“下一步”

5

取消“激活默认响应规则(R)”，单击“下一步”

6

单击“完成”

7

现在我们添加一个允许访问该服务器3389端口的客户端IP

在“允许指定IP访问3389 属性”对话框，取消“使用添加向导”，单击“添加(D)…”

8

在“新规则 属性”对话框中，单击“添加(D)…”

9

打开“IP筛选器列表”，名称中填写“3389IP筛选器 允许”，取消“使用添加向导”，然后单击“添加(A)…”

10

在“IP筛选器属性”对话框中，源地址选择“一个特定的IP地址”，然后填写需要访问该服务器3389端口的客户端IP，目标地址选择“我的IP地址”，取消“镜像。”。然后选择“协议”选项卡。

11

“协议”选项卡中，“选择协议类型”选择“TCP”，“设置IP协议端口”设置为“从任意端口(F)”“到此端口(O)：”3389。然后可以在描述填写允许的IP，方便查找，最后单击“确定”

12

刚才添加的筛选器就出现在了“IP筛选器”列表里了，然后单击“确定”。如果需要添加更多的客户端IP，只许重复9-11即可

在完成的“新规则 属性”对话框里，选中刚刚建好的IP筛选器“3389IP筛选器 允许”，然后选择“筛选器操作”选项卡

13

选中“许可”，单击“应用”，然后再单击“确定”

14

在“允许指定IP访问3389 属性”对话框中，可以看到刚才添加的筛选器已经生效了。

15

现在添加阻止策略，该策略会阻止所有试图访问该服务器3389端口的IP

在上个页面中点击“添加”，打开“新规则 属性”对话框，再次点击“添加”

16

命名为“3389IP筛选器 阻止”，点击“添加”

17

按照下图选择并取消“镜像”

18

“协议”选项卡如下，并在“描述”中填写：“任何IP”，点击“确定”

19

刚刚添加的IP筛选器已经出现在列表里，点击“确定”

20

在“新规则 属性”对话框中选择“筛选器操作”选项卡

21

在“筛选器操作”选项卡中，取消“使用添加向导”，点击“添加”

22

选择“阻止(L)”

23

在“常规”选项卡中填写名称“阻止”然后点击“确定”

24

在“新规则 属性”对话框中选中“3389IP筛选器 阻止”

25

在“筛选器操作”选项卡中选中“阻止”，然后点击“应用” → “确定”

26

现在IP策略已经添加完成，点击“确定”

24

现在，在“组策略编辑器”中已经可以看到刚刚添加的“允许指定IP访问3389”

25

右键点击“允许指定IP访问3389”，选择“指派(A)”

26

当该策略图标出现一个小绿点的时候说明该策略已经生效了。

27

现在除了指定的IP，其他客户端均不能远程登录该服务器了