1、使用IP策略阻止指定端口的訪問Windows 2003 的遠程桌面為例給大家介紹如何防范與應用2003的終端服務是一個無論在速度還是在易操作性上都是非常出色的遠程管理,也是因為它的這些優點,基于對它默認使用的3389端口的攻擊和掃描,是愈來愈多,非法入侵者通過3389進入后,會完全控制您的主機,或是利用此主機作為遠程轉移攻擊平臺,給您給別人都帶來了不小的麻煩.我們大家現在都已經認識到這一點,開始著手3389的安全防護,比如:給系統裝上最新的SP,刪除系統輸入法幫助,更改默認的3389端口,將終端服務RDP協議綁定在需要連接的介面卡上等等方法,但這些也會有不足的地方,能否可以進一步的保證3389

2、的安全性呢?回答是肯定的.我們可以使用2000的IP安全策略來加強3389的防護.思路是這樣:我們在主機過濾大部分遠程連接本地3389端口的TCP請求,僅僅允許通過我們指定的授權IP連接(管理員所使用的工作站地址),下面我們來看看如何實現.(我第一次使用時,感覺挺復雜的,呵呵 我笨,但了解后就感覺好了,希望您第一次要耐著性子嘗試一下,對以后在安全管理系統上會有幫助!)首先,打開"管理工具"中的"本地安全策略",在"IP安全策略"選項上點擊右鍵,如圖1:選擇"創建IP安全策略",會彈出向導窗口,單擊下一步,在彈出的窗

3、口中,輸入此策略的名稱,比如這里我們鍵入"3389過濾"再單擊下一步,以后全部默認下一步,其中有一個警告,單擊"是"即可這樣就完成新策略的添加.如圖2: 點擊確定后,回到圖1界面,選擇"管理IP篩選器操作",彈出窗口,如圖3我們先要建立一個篩選器,單擊"添加",彈出窗口,在篩選器名稱里填入"3389篩選器1",再單擊旁邊的"添加",會彈出向導窗口,單擊"下一步",會出現源地址選項,(你可以按照自己的需要選擇),在這里我們選擇"任何IP地址&quo

4、t;,單擊下一步,在目的地址中選擇"我的IP地址",再單擊下一步,選擇IP協議,這里我們選擇TCP,單擊下一步,會出現端口選擇,如圖4:我們設置從任何端口到本機的3389端口.單擊下一步.就完成了篩選器的建立.如圖5:接著回到圖3界面,單擊"管理篩選器操作"頁欄,單擊"添加",會彈出篩選器操作向導,單擊"下一步",取名為"阻止3389",單擊下一步,在選擇操作頁面中選擇"阻止",單擊"下一步",就完成了篩選器的建立.如圖6:好了! 我們建立了篩選器和篩選器

5、操作,現在就要建立IP安全規則了.在圖1界面中,雙擊我們剛剛建立的"3389過濾"策略,彈出策略屬性窗口,然后單擊"添加"彈出向導,單擊"下一步",一直單擊下一步,其中一個選擇"是",直到這里,如圖7:這時,我們要選擇我們剛才建立的"3389篩選器1",然后再單擊下一步.如圖8:(大家注意到沒有,傍邊的"添加""編輯"等按鈕,其實我們可以在此向導中就可以一次完成建立篩選器及篩選器操作等工作)圖8我們選擇建立的"阻止3389"的操作,單擊

6、"下一步",就完成了安全規則的建立.現在我們就已經有了一個基于在3389端口阻止所有IP連接的安全策略了.現在,你在圖1的界面上,在"3389過濾"策略上單擊右鍵,再單擊"指派",這樣,系現在所有的連接都被阻止了,管理員如何連接呢? 別急我們再來建立一個允許管理員登陸的策略.我們回到圖3的界面,重復建立篩選器的步驟,建立一個名為"3389篩選器2"的篩選器,別的設置和"3389篩選器1"的一樣,只是在選擇源地址時要選擇"一個特定的IP地址",這里比如我的管理員工作站IP是10.119.99.2,如圖9:然后再重復建立篩選器操作的步驟,建立一個名為"允許3389"的操作,和上面不同的是在選擇動作時使用"許可".再回到上面的的地方,重復建立規則的步驟,用"3389篩選器2"和"允許3389"建立一個新的規則,完成后在策略"3389過濾"屬性中顯示如下:如圖10:至此,我們已經完成了在3389端口