概述

为了提高服务器的安全性，建议只允许指定的IP地址可以远程连接服务器。设置的方法很多，本文介绍如何使用IPSec的方式实现该需求。

注：

• 本文以Windows Server2008系统为例，其他版本的操作系统类似。
• 使用IPSec的方法兼容Windows Server2003版本，对于Windows Server2008之后的版本，推荐使用Windows高级防火墙，仅允许指定网段或者IP远程登录。

详细信息

使用IPSec的方式需要添加如下两个本地安全规则。操作步骤如下。

• 禁止所有的IP地址连接服务器的RDP端口（3389）
• 允许指定的IP地址连接服务器的RDP端口（3389）

禁止所有的IP地址连接服务器的RDP端口

• 远程连接登录服务器。
• 单击 开始，选择 运行。
• 输入
  gpedit.msc
  ，单击 确定，打开本地组策略编辑器。
• 在左侧依次找到 计算机配置 > Windows设置 > 安全设置 > IP安全策略。
  
  
  
• 在右侧空白处单击右键，选择 创建IP安全策略。
• 在弹出的向导中，单击 下一步。
• 自定义安全策略名称，比如“远程连接限制”，单击 下一步。
• 不需要勾选 激活默认响应规则（仅限于Windows的早期版本），单击 下一步。
• 默认勾选 编辑属性，单击 完成。
• 在弹出的属性窗口中，取消勾选 使用“添加向导”。单击 添加 按钮。
  
  
  
• 在弹出的新规则属性窗口，再次单击 添加 按钮。
• 此处可自定义筛选器名称。取消勾选 使用“添加向导”，单击 添加。
• 源地址 选择 任何IP地址，目标地址 选择 我的IP地址。取消勾选 镜像，然后单击 协议 标签页。
  
  
  
• 协议选择 TCP，端口选择 从任意端口 > 到此端口 的3389端口，单击 确定。注：此处以RDP默认的3389端口为例。如果您修改了RDP的默认端口，则此处为修改后的端口号。
  
  
  
• 在筛选器列表窗口，再次单击 确定。
• 在新规则属性窗口，单击 筛选器操作 标签页，取消勾选 使用“添加向导”，选择 添加。
  
  
  
• 安全方法 选择 阻止。
  
  
  
• 返回筛选器操作窗口，勾选新建的筛选器操作，单击 应用。切换到IP筛选器列表标签页，勾选新建的筛选器列表，单击 确定。
  
  
  
• 至此，禁止所有IP远程连接本服务器3389端口的安全策略添加完成。请参考下面的内容，继续添加允许指定IP的安全策略。

允许指定的IP地址连接服务器的RDP端口

参考上述步骤，添加仅允许指定IP地址连接本服务器的3389端口。

1. 在安全策略属性窗口，取消勾选 使用“添加向导”，单击 添加。
   
   
   
2. 在IP筛选器列表窗口，单击 添加。
3. 此处可自定义筛选器名称。取消勾选 使用“添加向导”，单击 添加。
4. 源地址 选择 一个特定的IP地址或子网，然后填写您远程连接时的公网IP地址或者地址段，例如“1.1.1.1”。目标地址 选择 我的IP地址。取消勾选 镜像，然后单击 协议 标签页。注：此处确保填写正确的公网IP地址。如果填写错误可能导致自己无法远程连接服务器。
   
   
   
5. 协议选择 TCP，端口选择 从任意端口 > 到此端口 的3389端口，单击 确定。注：此处以RDP默认的3389端口为例。如果您修改了RDP的默认端口，则此处为修改后的端口号。
   
   
   
6. 在筛选器列表窗口，再次单击 确定。
7. 在新规则属性窗口，单击 筛选器操作 标签页，取消勾选 使用“添加向导”，选择 添加。
8. 安全方法 选择 许可。
   
   
   
9. 返回筛选器操作窗口，勾选新建的筛选器操作，单击 应用。切换到IP筛选器列表标签页，勾选新建的筛选器列表，单击 确定。
10. 在安全策略属性窗口，单击 确定。
11. 在本地组策略编辑器窗口，右键单击新创建的安全策略，选择 分配。
12. 确认安全策略的 策略已指派 状态为 是。