IT外包问:windows 2008 R2 怎么阻止外网访问特定端口(不开启防火墙)?
1答:IP安全策略是可以做到你说的功能的。
1.运行gpedit.msc,在计算机配置—Windows设置—安全设置—IP安全策略中创建新的IP安全策略。
2.在IP安全策略向导中点击下一步。
3.为新建的策略输入一个名称,例如new policy并点击下一步。
4.去处激活默认响应规则前的钩,并点击下一步。
5.选中编辑属性并点击完成。
6.在new policy属性中点击添加,请去除使用“添加向导”前的钩。
7.在新规则属性中选择所有IP通讯,然后点击筛选器操作选项卡。
8.在新规则属性的筛选器操作中点击添加,请不要选中使用“添加向导”。
9.在新筛选器操作属性的安全措施中选择阻止。
10.在常规选项卡中为新的操作输入名称,例如disable。并点击确定。
11.回到筛选器操作选项卡,选中之前创建的disable,点击应用—关闭。
12.回到new policy属性,再次点击添加以创建允许通信的规则。
13.在新规则属性中点击添加。
14.在IP筛选器列表中输入名称,例如allow,并点击添加。
15.在IP筛选器属性中将源地址选择为一个特定的IP地址,并输入具体的IP地址。目标地址选择我的IP地址,并选中镜像,点击协议选项卡。
16.在协议选项卡中选择协议类型为任意,并点击确定。
17.回到IP筛选器列表界面,再次点击确定。
18.回到新规则属性界面,选中之前创建的allow,并选择筛选器操作选项卡。
19.选中许可,点击应用—关闭。
20.回到最初的new policy属性界面。我们已经有了一条阻止所有通信的规则和一条允许某一特定IP通信的规则。
由于在IPSEC中最匹配的规则会生效,因此172.16.145.176这个客户端能和目前的服务器通信。点击确定。
21.回到组策略编辑器,刚才创建的new policy已经出现,右击选择指派。
22.策略成功指派后new policy的图标会有一个绿色小钩,表示策略已经应用。