服务器文件共享安全的IP策略配置

服务器磁盘共享及共享安全IP策略

操作手册

武汉虹翼信息有限公司

2012 年07月

目录

1目的 (3)

2示意图 (3)

3共享启用 (3)

3.1启用服务器的网络发现 (3)

3.2启用服务器的文件共享 (4)

4配置共享文件夹 (6)

5映射磁盘 (15)

6配置安全策略 (17)

6.1配置IP允许策略 (17)

6.2配置IP阻止策略 (39)

1目的

本文描述使用windows自带的共享功能，实现以下功能：

1）文件共享；

2）只允许特定机器访问配置的共享资源。

3）通过安全策略，允许特定的机器访问，同时限制特定的IP访问。

4）本配置只针对网络共享的允许和限制，不影响其它端口的使用。2示意图

3共享启用

3.1启用服务器的网络发现

1. 左键点击屏幕右下角的【网络连接】，如图1-1-1：

图1-1-1

2. 选择【网络和共享中心项】，如图1-1-2

3. 选择【共享和发现】下的【网络发现】，如图1-1-3

图1-1-2

4. 选择【启用网络发现】后，点击【应用】

3.2启用服务器的文件共享

1. 在网络发现项下为文件共享项，如图1-2-1：

图1-2-1

2. 选择文件共享项右方的三角符，如图1-2-2：

图1-2-2

注意：

A. 若服务器为共享机器则要启用文件共享

B. 若服务器为使用共享的机器则不需要打开文件共享

3. 选择【启用文件共享】，并选择【应用】，如图1-2-3：

图1-2-3

4配置共享文件夹

注意：此操作只在共享磁盘的机器上设置，使用该共享磁盘的机器无需此步操作

1. 打开【我的电脑】，选择要共享的磁盘或文件夹，点击右键，选择【共享】，

如图1-3-1：

图1-3-1

2. 出现如图1-3-2：

图1-3-2 3. 选择【高级共享】，如图1-3-3

图1-3-3

注意：

共享用户数量限制：是限制打开共享的人数，比如限制为2

就是同时只有两台机器能访问共享文件

4. 点击:【权限】，如图1-3-4：

图1-3-4

注意：

系统本身有个everyone 账户，此账户为使用此操作系统中任何一个用户名都可以访问该共享磁盘（文件），其权限为【读取】，若不想让所有用户都有访问该共享磁盘的权限，可将其删除，并添加单个用户即可

5. 选择【添加】可以添加用户（添加的用户必须是操作系统中存在的账户），

如图1-3-5：

图1-3-5

6. 选择【对象类型】，如图1-3-6：

图1-3-6

7. 去除【内置安全主体】与【组】选项，如图1-3-7：

图1-3-7

8. 选择【确定】，出现如图1-3-8：

图1-3-8 9. 选择【高级】，出现如图1-3-9：

图1-3-9 10. 选择【立即查找】，如图1-3-10：

图1-3-10

11. 选中要添加的【用户名称】，并选择确定，如图1-3-11：

图1-3-11

12.选择【确定】，用户就有共享权限了，如图1-3-12：

图1-3-12

13. 按需求更改用户的权限，在方框内√即可，如图1-3-13：

图1-3-13

14. 分配权限后，点击【应用】，点击【确定】，保存更改

15. 按需求删除Everyone 用户，选中Everyone ，点击【删除】即可，如图1-3-14：

图1-3-14

16. 删除后点击【应用】，点击【确定】，保存更改，弹出如图1-3-15：

图1-3-15

17. 点击【应用】，点击【确定】，保存更改

5映射磁盘

注意：此步操作只在使用共享磁盘的机器上设置

1. 打开【我的电脑】，在此处输入共享机器的IP地址，如：\\10.10.3.188，如图1-4-1：

图1-4-1

2. 期间会弹出要输入帐号密码的选项

在里面输入开始分配的帐号及密码即可（注意:输入的帐号在建立共享时所分配的权限）

3. 选择共享的磁盘或文件夹，单击右键，选择【映射网络驱动器】,如图1-4-2：

图1-4-2

4. 弹出，如图1-4-3：

图1-4-3

注意：

（登陆时重新连接）选项要打勾，此选项为重新登陆时自动重新连接项。

5. 点击完成，共享文件夹可直接在我的电脑内打开，如图1-4-4：

图1-4-4

6. 在【网络位置】下就是映射出的磁盘，此磁盘可以像本地磁盘一样使用

6配置安全策略

6.1配置IP允许策略

1. 点击—【开始】—【运行】输入mmc如图2-1-1：

图2-1-1

2. 点击【确定】，如图2-1-2：

图2-1-2

3. 单击【文件】，选择【添加/删除管理单元】，如图2-1-3：

图2-1-3

4. 弹出，如图2-1-4：

图2-1-4

5. 选中【IP安全策略管理】点击【添加】，如图2-1-5：

图2-1-5

6. 选择【本地计算机】，单击【完成】

7. 单击【确定】，弹出，如图2-1-6：

图2-1-6

8. 选中【IP安全策略】，单击右键，选择【创建IP安全策略】，弹出如图2-1-7：

IP安全策略的设置

IP安全策略的设置IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过： 控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP 隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删 除”。．

IP安全策略的设置

IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7： 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

操作系统的安全策略基本配置原则

操作系统的安全策略基 本配置原则 集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则 通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

windows配置IP访问策略

windows 配置IP访问策略 附件：配置IP安全策略 禁止访问 1、打开组策略编辑器，在运行中输入gpedit.msc ； 2、1、打开：计算机配置>Winodws设置>安全设置>IP 安全策略，在本地计算机 3、在“IP 安全策略，在本地计算机”单击右键，选择“创建IP安全策略” 4、输入策略名称“禁止访问1521”，然后选择下一步>选择“激活默认响应规则“， 然后选择下一步>选择”选择Active Directory 默认值（Kerberos V5协议）“，然后选择下一步>弹出警告框，选择是>选择编辑属性，点击完成。 5、选择添加 6、选择下一步 7、选择“此规则不指定隧道” 8、选择“所有网络连接”点击下一步 9、选择“添加” 10、输入“名称”然后点击添加 11、然后连续点击两次下一步，直到下弹出下面窗口，源地址选择“任何IP地址“，点击下一步。 12、目标地址选择“我的IP地址“，点击下一步 13、IP协议类型选择“TCP“，点击下一步 14、IP协议端口，选择“从任意端口“到”1521端口“，点击下一步然后点完成。15，打开规则属性页面，选择“筛选器操作“页面 16、输入名称 17，选择“阻止“，点击下一步，然后点完成。 18、选择新建的筛选器，然后点击应用。 19、在新建策略上单击右键，选择“指派“ 20、在运行中输入“gpupdate“回车，更新本地安全策略。

只允许特定主机访问445端口 要设置只允许某个特定主机或网段访问445端口（同样可应用于其它端口号）其步骤如下： 一、首先建立一条组策略（组策略中包含“策略拒绝所有主机访问445端口”策略和“允许特定 主机访问445端口”二条子策略）。 二、建立子策略一“策略拒绝所有主机访问445端口” 三、建立子策略二“允许某个特定主机或网段访问445端口” 四、添加子策略到组策略中，并指派策略生效并（使用gpupdate命令）更新组策略。 步骤与截图如下： 一、建立组策略 1.开始菜单->运行->gpedit.msc进入如下图所示位置，并随机附图所示依次点击“下一步” 出现警告点击“是” 点击完成 二、建立子策略“策略拒绝所有主机访问445端口” 建立一条策略拒绝所有主机的445端口访问，依下图所示步骤操作。 去掉“使用添加向导”的勾选，并点击添加： 再次点击“添加” 输入策略名称“拒绝所有445端口访问”，并点击“添加”，进入IP筛选器向导 源地址指定为“任何IP地址” 目标地址指定为“我的IP地址” 协议类型选择为“TCP” 端口设置如下，到此端口输入445： 点击下一步完成。 进入到“筛选器操作”选项卡，为本条策略设置“允许/阻止”该流量。 由于阻止操作并未出现在默认选项中，需人工添加。 同样去掉“使用添加向导”并点击添加。出现对话框，选择“阻止” 在“常规”选项卡中输入操作名称，点击确定完成。 选择刚刚新建的“阻止”操作，点击应用，到此阻止所有主机访问本机的445端口策略设置完毕。 三、建立子策略“允许访问本机的445端口” 再次点击“添加” 假设远程主机IP为，输入策略名称“允许访问445端口” 完成后，去掉“使用添加向导”并点击“添加”，源地址设置为你需要允许访问的IP地址。目标地址选择“我的IP地址”，地址选项卡设置完成。 进入“协议”选项卡，作如下设置，并点击“确定”完成添加操作。 再次点击确认完成操作 到此我们可以看到有二条IP筛选策略已经添加完成。 四、添加子策略到组策略

IP安全策略的设置

脚本语言的我还是建议不要使用IIS，因为IIS对非官方的东西的支持始终都不够好。下面是看图识字而已，跟着我来一切将变得很简单。 Here we go. IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后

IP安全策略禁用网络端口

IP安全策略禁用网络端口 当木马悄悄打开某扇“方便之门”（端口）时，不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心，首先我们要切断它们与外界的联系（就是堵住可疑端口）。 在Win 2000/XP/2003系统中，Microsoft管理控制台（MMC）已将系统的配置功能汇集成配置模块，大大方便我们进行特殊的设置（以Telnet利用的23端口为例，操作系统为Win XP）。 操作步骤： 首先单击“运行”在框中输入“mmc”后回车，会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”，最后按提示完成操作。这时，我们已把“IP安全策略，在本地计算机”（以下简称“IP安全策略”）添加到“控制台根节点”下。 现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”（注意：在点击“下一步的同时，需要确认此时“编辑属性”被选中），然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。 在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”，选中它，切换到“筛选器操作”标签栏，依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。 新策略需要被激活才能起作用，具体方法是：在“新IP安全策略”上点右键，“指派”刚才制定的策略。 效果 现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败；用扫描工具扫描这台机子，会发现23端口仍然在提供服务。以同样的方法，大家可以把其它任何可疑的端口都封杀掉，不过有一些常用端口不能禁，比如80是web服务端口，21是FTP服务端口，25/110是收发邮件的pop和smtp默认端口，常用的端口要记住，就不会出现无法访问的情况。

服务器的IP安全策略和关闭端口设置

操作要领：封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速 度的影响。 近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。安装了防火墙软件的用户，请封闭TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些 端口的传入连接。 操作步骤： 打开“控制面板”（打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到） 在“控制面板”中找到“管理工具”。 双击打开“管理工具”，找到“本地安全策略”。 双击打开“本地安全策略”，找到“IP 安全策略”如下图 用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建IP 安全策略” 如下图 在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。 到达“安全通信请求”处，默认选中了“激活默认相应规则”，请用鼠标点击一下这个选项框，将选中状 态改成未选中状态，如下图，再点击“下一步”。

点击“完成”按钮，“编辑属性”，如下图。 在“属性”对话框中，看看“使用添加向导”有没有选中，如果选中了，请用鼠标点击一下，使之变成未被选中的状态，然后点击“添加”按钮。如下图。

在“新规则属性”对话框中，点击“添加”按钮，如下图。 在IP 策略列表中，首先解除“使用添加向导”的选中状态，然后点击“ 添加”按钮。如下图。

最新最全USG6000安全策略配置(DOC41页)

配置反病毒 在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。网络环境如图 1所示。 其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。 图1 配置反病毒组网图 配置思路 1.配置接口IP地址和安全区域，完成网络基本参数配置。 2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响 应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。 3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实 现组网需求。

操作步骤 1.配置接口IP地址和安全区域，完成网络基本参数配置。 a.选择“网络> 接口”。 b.单击GE1/0/1，按如下参数配置。 c.单击“确定”。 d.参考上述步骤按如下参数配置GE1/0/2接口。 e.参考上述步骤按如下参数配置GE1/0/3接口。 2.配置反病毒配置文件。 a.选择“对象> 安全配置文件> 反病毒”。 b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

WIN7“IP安全策略”仅允许指定IP远程访问控制

1、新建IP安全策略 WIN+R打开运行对话框，输入gpedit.msc进入组策略编辑器。 依次打开“本地计算机”策略->计算机配置->Windows设置->安全设置->IP安全策略, 在本地计算机上。 右键单击“IP安全策略，在本地计算机”，在右面的空白处右击，选择第一个菜单：创建IP安全策略。 在弹出的IP安全策略向导对话框，点击下一步，在名称里输入3389过滤，下一步。

取消激活默认响应规则，下一步。 选中编辑属性，完成。 2、新建IP筛选器 在弹出的新IP安全策略属性对话框里取消使用“添加向导”，点击添加。

在弹出的新规则属性对话框里点击添加，起个名称：放行指定IP的3389连接，取消使用“添加向导”选项,点击添加。 在弹出的对话框里选择地址选项卡，源地址选择“一个特定的IP地址或子网”，并填写需要分配访问权限的指定IP地址，目标地址选择“我的IP地址”，取消镜像功能。

再选择协议选项卡，协议类型选择TCP，设置IP协议端口为从任何端口到此端口3389。 单击确定关闭IP筛选器属性，再确定关闭IP筛选器列表。 在新规则属性对话框里再点击添加，依照上面的步骤再添加一个IP筛选器，名称为：阻止3389连接；源地址为任意IP，目标地址为我的IP。

协议类型选择TCP，设置IP协议端口为从任何端口到此端口3389。 3、给新建的IP筛选器设置筛选器操作 在新规则属性对话框上选择筛选器操作选项卡，点击添加，选择阻止，在常规选项卡里的名称改为：阻止。 点击确定。

再点击添加，选择许可，在常规选项卡里的名称改为：许可。点击确定。

利用IP安全策略阻止访问特定的IP

利用IP安全策略阻止访问特定的IP ?开始->运行，输入gpedit.msc，打开组策略窗口 ?在左边的树开列表里依次选择 "本地计算机"策略->计算机配置->Windows 设置->安全设置->IP安全策略，在本地计算机 ?在右边的窗口右击（或也可以右击"IP安全策略，在本地计算机"），选择创建IP安全策略，在打开的对话框中点击下一步。 ?输入IP 安全策略名称（可随意），点一步。 ?安全通迅请求，直接点下一步。 ?默认响应规则身份验证方式，直接点下一点（会弹出警告确认，直接点“是”）?点击完成，出现如下的 "新IP策略属性"窗口，单击“添加”，在弹出的对话框中点击下一步。

?提示指定IP规则的隧道终结点，按默认选择（即“此规则不指定隧道”），点下一步 ?提示选择网络类型，按默认选择（即“所有网络连接”），点下一步 ?再次提示选择“身份验证方法”，按默认选择，点下一步（会弹出警告确认，直接点“是“） ?提示选择IP筛选器 ?单击上图中的添加，弹出“IP 筛选器列表”。 ?单击上图中的添加，弹出IP筛选器向导。 ?继续下一步，选择IP通信源，这里选择我的IP地址（因为是要禁止本机上运行的木马对外通信）。 ?继续下一步，选择IP通信目标，这里选择"一个特定的IP地址"（因为是要禁止本机上与某个远程的IP通信）。 ?继续下一步，选择IP协议类型，这里可以根据情况选择。 ?点下一步，完成。回到选择IP筛选器，这里可以在列表中看到刚刚添加的内容(下图中蓝色选择的内容)。

?点上图的确定，回到安全规则向导窗口，选择刚刚建立的规则，点下一步。?继续下一步，选择筛选器操作。 ?点击上图中的添加，在“添加向导”中建立一个“筛选器操作”，注意“筛选操作常规选项”选择“阻止”。 ?“筛选器操作”向导完成回到19步中的窗口，选择上一步建立的“筛选器操作”，点下一步。 ?关掉所有窗口，回到组策略窗口(注意所有窗口都选择“确定”)

IP安全策略禁ping设置教程

IP安全策略禁ping设置教程 IP安全策略禁ping设置详解: 【操作步骤】 第1步:添加IP安全策略。我们首先要做的就是，在控制台中添加IP安全策略单元，添加步骤如下: (1)依次点击【开始】?【运行】，然后在【运行】窗口中输入“mmc”并回车，此时将会打开【控制台1】窗口，如图1-1所示。 2)在图1-1所示窗口依次点击【文件】?【添加/删除管理单元】?【添加】，此时将会打开【添加/删除管理单元】窗口，我们在此窗口下的列表中双击“IP安全策略管理”，如图1-2所示。

(3)这时将会弹出【选择计算机域】窗口，在此我们选中【本地计算机】，然后点击【完成】按钮，最后依次点击【关闭】?【确定】，返回【控制台1】主界面，此时我们将会发现在【控制台根节点】下多了【IP安全策略，在本地计算机】(如图1-3所示)项，此时可以说明控制台中已经添加了IP安全策略项。 第2步:创建IP安全策略。在我们添加了IP安全策略后，还要创建一个新的IP安全策略，步骤如下:

(1)在图1-3中右键点击【IP安全策略，在本地机器】选项，执行【创建IP安全策略】命令，此时将会打开【IP安全策略向导】窗口。 (2)单击【下一步】按钮，此时将会出现要求指定IP安全策略名称及描述向导页面，我们可以在【描述】下输入一个策略描述，比如【禁止Ping】，如图1-4所示。 (3)点击【下一步】，然后在出现的页面中确保选中了【激活默认相应规则】项，然后单击【下一步】。 (4)在出现的【默认响应规则身份验证方法】对话框中选中【此字符串用来保护密钥交换(预共享密钥)】选项，然后在下面的文字框中任意键入一段字符串(如“禁止Ping”)，如图1-5所示。

使用IP安全策略关闭端口

使用IP安全策略关闭端口 操作要领：封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速度的影响。 近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。安装了防火墙软件的用户，请封闭 TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如 TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些端口的传入连接。 操作步骤： 打开“控制面板”（打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到） 在“控制面板”中找到“管理工具”。 双击打开“管理工具”，找到“本地安全策略”。 双击打开“本地安全策略”，找到“IP 安全策略”，如图一。 图一：找到“本地安全策略”的“IP 安全策略” 用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建 IP 安全策略”

图二：创建新的策略 在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。 到达“安全通信请求”处，默认选中了“激活默认相应规则”，请用鼠标点击一下这个选项框，将选中状态改成未选中状态，如图三，再点击“下一步”。 图三：不要激活默认选中状态 点击“完成”按钮，“编辑属性”，如图四。

图四：完成新策略添加 在“属性”对话框中，看看“使用添加向导”有没有选中，如果选中了，请用鼠标点击一下，使之变成未被选中的状态，然后点击“添加”按钮。如图五。 图五：点击“添加”按钮，添加新的连接规则

配置本地安全策略

配置本地安全策略———端口的保护 IP安全策略设置方法 一、适用范围： 它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可

使用IP安全策略阻止Ping

使用I P安全策略阻止 P i n g Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT

使用I P安全策略阻止P i n g 由于 IP 协议在设计之初并没过多的考虑安全问题，因此在早期的网络中经常发生网络攻击或机密数据被窃等问题，为了增强网络的安全性，IP 安全协议（IPSec）应运而生。IP 安全策略即为 IPSec 策略，是 Windows 中用来配置 IPSec 安全的一项服务。这些策略设置可为多数现有网络中的多数通信类型提供多种级别的保护。IP安全策略可以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。 一个 IP 安全策略由“ IP 筛选器”和“筛选器操作”两部分构成，要新建一个IPSec安全策略，一般需要新建IP 筛选器和筛选器操作。其中，IP 筛选器决定了哪些报文应当引起 IP 安全策略的关注；筛选器操作是指“允许”还是“拒绝”报文的通过。 本文将以简单的 IP 安全策略配置示例为例，说明如何在 Windows 中使用 IP 安全策略保障网络安全。 启用 IP 安全策略 方法一：使用 MMC 控制台 第一步：打开开始菜单，打开“运行”或直接在开始菜单中输入“MMC”，点击“确定”按钮后，启动“控制台”。 第二步：点击“控制台”菜单中的“文件→添加/删除管理单元”选项，弹出“添加/删除管理单元”对话框，点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框。

第三步：在列表框中选择“IP安全策略管理”（如图2），点击“添加”按钮，在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec 安全策略。 方法二：利用本地安全策略 进入“控制面板→管理工具”选项，运行“本地安全设置”选项，在“本地安全设置”窗口中展开“安全设置”选项，就可以找到“IP安全策略，在本地计算机”。 阻止 Ping 的实现过程 在 MMC 窗口中的“IP 安全策略”节点上点击右键，点选“创建 IP 安全策略”： 在弹出的“IP 安全策略向导”窗口中点击下一步，编辑 IP 安全策略名称和描述： 点击下一步，在“安全通讯请求”的设置中保持默认状态，即：不勾选激活默认相应规则。继续下一步。勾选“编辑属性”，点击完成。 这时，弹出了刚才创建的 IP 安全策略条目的属性窗口： 在该属性窗口中，我们点击“规则”选项卡中的“添加”按钮，弹出“创建 IP 安全规则向导”，点击下一步，在“IP安全规则的隧道终结点”设置中保持默认： 点击下一步，在“网络类型”设置中选择“所有网络连接”： 点击下一步，在“IP 筛选器列表”中点击右侧的“添加”按钮，添加一个新的筛选器，新筛选器的名称和描述自定义输入：

安全策略设置阻止所有IP访问1433

安全策略设置阻止所有IP访问1433,可我想特定某个IP可以访问. 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“1433”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 1433（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、1433.3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。 第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。 第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

IP安全策略

WindowsXP专业版自带的IP安全策略，其功能并不比一些免费的防火墙差，可以关闭或开启端口，可以封掉指定的IP地址，还可以封掉指定的域名。只是设置起来有点麻烦，以下以封掉指定域名为例，讲述设置过程。 （一）添加IP安全策略 1. 运行gpedit.msc组策略，点击“计算机配置”→“windows设置”→“安全设置”，用鼠标右键点击“IP安全策略”，在弹出菜单中点击“创建IP安全策略”，点击“下一步”； 2. 出现“IP安全策略名称”输入界面，可以使用默认名称“新IP安全策略”或者随便输入一个名称，如：4399 。点击下一步，出现“安全通讯请求”设置窗口，使用默认设置“激活默认响应规则”，点击下一步； 3. 出现“默认响应规则身份验证方式”设置窗口，选择“此字符串用来保护密钥交换”，并随便输入一串字符，比如：12345jkkl 等，点击“下一步”； 4. 出现完成“新IP安全策略属性设置”的界面，选中“编辑属性”，点击“完成”。 5. 进入“新IP安全策略属性设置”界面，选择“使用添加向导”，点击“添加”按钮；

6. 出现“安全规则向导”，点击下一步，进入“隧道终结点”设置界面，选择“此规则不指定隧道”，点击“下一步”； 7. 出现网络类型设置界面，选“所有网络连接”，点击“下一步”，再次出现“默认响应规则身份验证方式”设置窗口，选择“此字符串用来保护密钥交换”，再次随便输入一串字符，比如：12345jkkl 等，点击“下一步”；

8. 出现“IP筛选器列表”界面，点击“添加”按钮，按照9～12步骤创建IP筛选器。如果已经编辑好IP筛选器，则直接在列表框中选中IP筛选器，如4399，在该项前面的圆圈中打上圆点标记，再点击“下一步”，在“筛选器操作”中，选择“拒绝”，在“拒绝”左边的圆圈中打上圆点标记，点击“下一步”，点击“完成”。

IP安全策略

IP安全策略 ? ? ? IP安全性(Internet Protocol Security)是Windows 2000/2003中提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次局域网数据的安全性。 ? ? ? 巧用IP安全策略保护您的重要数据 ? ? ? 利用EFS可以对数据进行一定程度的保护，但是，EFS仅负责本地计算机存储数据的安全保护，当数据在网络上传输时，数据不会被加密。这时候怎么办Windows 2000的IP 安全特性解决了这个问题。 IP安全性(Internet Protocol Security)是Windows 2000中新提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次的局域网数据安全性。 创建IP安全策略 在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法： 1、选“开始→运行”，在“运行”对话框窗口的“打开”编辑框中输入“mmc”，单击[确定]按钮，启动“控制台”对话框窗口。 2、单击“控制台”菜单中的“添加/删除管理单元”选项，启动“添加/删除管理单元”对话框，单击“独立”选项卡中的[添加]按钮，启动“添加独立管理单元”对话框窗口。 3、在“可用的独立管理单元”列表中选定“IP安全策略管理”。 4、单击[添加]按钮，启动“选择计算机”对话框窗口，并利用各个单选按钮确定当前IP安全策略待管理的计算机，可以将管理范围设置为：本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。 ?

KB) 2007-5-8 14:59 5、逐一单击[完成]按钮与[关闭]按钮即可。 设置IP过滤器 IP安全属性的每一个组成部分都称为安全策略，而IP过滤器又是安全策略中的重要组成部分，因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。 1、添加新IP过滤器 (1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”，单击[确定]按钮，启动“控制台”对话框窗口。 (2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键，然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项，出现“管理IP 筛选器表和筛选器操作”对话框(如图2所示)。 ?

服务器的IP安全策略和关闭端口设置

服务器的IP安全策略和关闭端口设置

1028端口封了，无法上网。有65000多个端口 操作要领：封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速度的影响。 近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。安装了防火墙软件的用户，请封闭TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些端口的传入连接。 操作步骤： 打开“控制面板”（打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到） 在“控制面板”中找到“管理工具”。 双击打开“管理工具”，找到“本地安全策略”。 双击打开“本地安全策略”，找到“IP 安全策略”如下图 用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建IP 安全策略” 如下图

在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。 到达“安全通信请求”处，默认选中了“激活默认相应规则”，请用鼠标点击一下这个选项框，将选中状态改成未选中状态，如下图，再点击“下一步”。 点击“完成”按钮，“编辑属性”，如下图。 在“属性”对话框中，看看“使用添加向导”有没有选中，如果选中了，请用鼠标点击一下，使之变成未被选中的状态，然后点击“添加”按钮。如下图。

在“新规则属性”对话框中，点击“添加”按钮，如下图。 在IP 策略列表中，首先解除“使用添加向导”的选中状态，然后点击“ 添加”按钮。如下图。