windows服務器的安全可以通過設定IP安全策略來得到一定的保護，對於每個Windows系統運維人員來說IP安全策略是必備的技能之一。

IP安全策略，簡單的來說就是可以通過做相應的策略來達到放行、阻止相關的端口；放行、阻止相關的IP，實現一定程度的系統安全。

需求：機房內硬件防火墻還未到位，業務部門希望通過系統安全策略來限定有限IP對3389端口的訪問

實現步驟：

1、打開本地安全策略：

開始－運行－輸入secpol.msc或者開始－程序－管理工具－本地安全策略

彈出來的窗口中，右擊IP安全策略，在本地計算機創建IP安全策略：

2、創建一個新的IP安全策略，不要勾選“激活默認響應規則”和“編輯屬性”

4、先建一個阻止所有的規則，阻止所有也就是阻止所有的端口及IP地址訪問

阻止任何IP地址

阻止任意協議類型

3、下面我們要逐個放行，其實具體過程和上面是一樣的；設置“IP篩選器列表”可以改成允許相關的端口和協議，默認的遠程端口就是3389

4、最後再讓策略生效：右擊IP安全策略，分配就可以了

5、如果要允許的ip和端口比較多，一個一個輸入比較累，可以直接導出策略備份，然後其他機器上直接導入即可。

開始 > 運行 > gpedit.msc

計算機配置 > windows 設置 > 安全設置 > IP安全策略 > 右鍵 > 所有任務 > 導入策略

導入以後還需要分配才能啟用。

好了，基本上到這就ok了。

補充：

數據庫的端口一般建議別放行，可以直接在服務器裏操作，如果非要在本地連接數據庫的話可以和遠程連接設置一樣，放行相關的IP就行。還有其他的一些端口可以根據自己的需要進行放行。

另外，有時可能出現打開安全策略報錯“在保存ip安全數據時出現下列錯誤：指定的服務並未以已安裝的服務存在。（80070424）”　這個是由於服務“IPSEC Services”沒有開啟。

本文出自 “滴水穿石孫傑” 博客，請務必保留此出處http://xjsunjie.blog.51cto.com/999372/1971186

巧用WINDOWS IP安全策略