服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

dirtysea 发表于 2009-3-26 16:28:42

使用IPsec限制服务器远程桌面连接

服务器端设置:
1.开始--运行--mmc,点击"文件"--"添加删除管理单元"--"添加"--选择"IP安全策略管理",在弹出对话框中选择"本地计算机"后点击"完成". 同样的方法添加"IP安全监视器".
http://hiphotos.baidu.com/hneli/pic/item/e3ddcb2348b625439822eda9.jpg
http://hiphotos.baidu.com/hneli/pic/item/2881974c037f6ce8d72afc98.jpg
2.右键"IP安全策略,在本地计算机"选择"管理IP筛选器和筛选器操作".
http://hiphotos.baidu.com/hneli/pic/item/927654f9835ed548242df264.jpg
3.点击"添加",输入一个筛选器名称.(3389permit用于定义允许远程桌面连接筛选器,后面的3389deny用于定义拒绝所有的远程桌面连接筛选器)
http://hiphotos.baidu.com/hneli/pic/item/8c33ada406a3bce69152ee68.jpg
4.点击"添加"定义筛选器属性.在"地址"中源地址选择希望以后可以远程管理这台服务器的IP地址,目标地址选择"我的地址".
http://hiphotos.baidu.com/hneli/pic/item/dd6e0782b180ff81f703a669.jpg
5.在"协议"中,类型选择TCP,端口设置"从任意端口"到"3389",因为这里只是测试,没有修改默认的远程桌面连接端口,实际环境中根据情况进行相应的修改. 重复4,5两步添加其他允许连接的IP地址或网段.
http://hiphotos.baidu.com/hneli/pic/item/e66618ca6f4f1297c8176877.jpg
6.同样的方法,定义一名为3389deny的筛选器,用于拒绝所有的3389端口连接.
http://hiphotos.baidu.com/hneli/pic/item/415f42fc18983f93b801a07f.jpg
7.源地址 选择"任何IP地址",目标地址选择"我的IP地址".协议设置和3389permit相同,选择TCP任何端口到3389.
http://hiphotos.baidu.com/hneli/pic/item/64ff4417be50d218c93d6d9e.jpg
8.点击"确定"完成筛选器定义, 选择"管理筛选器操作"--"添加",添加名为deny的筛选器操作.筛选器操作行为选择"阻止".
http://hiphotos.baidu.com/hneli/pic/item/0b854ece1361491293457e4c.jpg
http://hiphotos.baidu.com/hneli/pic/item/7307478008bdb9c69023d975.jpg
http://hiphotos.baidu.com/hneli/pic/item/623d20342afd07a6d1a2d36f.jpg
9.筛选器及筛选器操作定义完成后,右键"IP安全策略,在本地计算机"选择"创建IP安全策略".名为mstsc,并分别添加3389permit和3389deny.
http://hiphotos.baidu.com/hneli/pic/item/dc49642499171c104d088d7e.jpg
http://hiphotos.baidu.com/hneli/pic/item/d2a624eca593d63663d09f68.jpg http://hiphotos.baidu.com/hneli/pic/item/8994a3739d7a060d8601b05e.jpg http://hiphotos.baidu.com/hneli/pic/item/b8f01351b614e83543a75b57.jpg
10.身份验证方法页上,因为这次测试环境不是域环境,Kerberos用不了,证书服务器暂时也没做,所以测试就先用共享密钥了.
http://hiphotos.baidu.com/hneli/pic/item/b570c636e506c9cca2cc2b51.jpg
11.添加"3389deny".
http://hiphotos.baidu.com/hneli/pic/item/6e1750c4fa0d66da38db4907.jpg
http://hiphotos.baidu.com/hneli/pic/item/f8be123d6d753611bba16751.jpg
12.添加完成策略mstsc属性入下图所示.
http://hiphotos.baidu.com/hneli/pic/item/724cbefa0155410fa9d3110e.jpg
13.右键策略"mstsc"选择指派.
http://hiphotos.baidu.com/hneli/pic/item/81de5433754a3652ac4b5f0f.jpg
客户端配置:
1.客户端创建IP筛选器表及筛选器操作.
http://hiphotos.baidu.com/hneli/pic/item/80d00f261c15f9068b82a112.jpg http://hiphotos.baidu.com/hneli/pic/item/732875195808de6bdab4bdf9.jpg http://hiphotos.baidu.com/hneli/pic/item/1753a534128aeb2a5bb5f5f9.jpg
2.创建IP安全策略.
http://hiphotos.baidu.com/hneli/pic/item/0a44fdcfa9d6772cf8dc61f9.jpg http://hiphotos.baidu.com/hneli/pic/item/f950a0f58ae77134bc3109c1.jpg
3.筛选器操作选择"请求安全".
http://hiphotos.baidu.com/hneli/pic/item/7a6b45fc5e3324ecfd037fed.jpg
4.身份验证方法 同样也选择共享密钥,密钥与服务端设置的字段相同.
http://hiphotos.baidu.com/hneli/pic/item/19cdc7edcc5463c5b31cb1d0.jpg
5.设置完成并指派.测试一下,此时只有允许的IP地址即218.198.180.4才可以通过远程桌面连接到服务器了.成功连接后在服务端的IP安全监视器里面可以看到相应的连接记录
页: [1]
查看完整版本: 使用IPsec限制服务器远程桌面连接