如何限制登录终端服务的地址

 当我们把终端服务开启后,可以方便管理远程远程服务器，但是，若是黑客也入侵到我们的终端服务器了呢，那后果就不堪设想了。为了维护服务器的安全，我们可以通过设置IP安全策略限制连接终端服务的IP及网段。 

　　假设我们的终端服务器IP为 192.168.0.107 ， 为了服务器的安全，我们只允许 192.168.0.120 这个IP地址连接终端。那我们该怎么做呢？

1) 首先要在IP安全策略里新建一条策略拒绝任何IP任何端口连接到本机的3389端口

2 )再建一条规则，只允许192.168.0.120这一个IP连接到服务器的3389端口，这样后建的允许规则就会在拒绝规则的上方，实现一个IP筛选的功能。 

操作步骤：
　　首先，打开组策略编辑器，在【开始】【运行】里输入”gpedit.msc”命令，运行组策略，如图1-1所示： 

　　

　　图1-1 运行组策略命令 

　　然后，选择计算机配置-->>Windows设置-->>IP安全策略，右键创建IP策略，单击下一步，如图1-2所示： 

　　

　　图1-2 创建IP安全策略 

　　点击图1-2中下一步-->>下一步，当弹出警告时，选择”是”>>下一步>>最后点击完成,此时查看我们所新建的策略如图1-3所示： 

　　

　　图1-3 查看新建的“自定义的规则” 

　　通过双击”自定义的规则”弹出”会弹出它的属性面板,如图1-4所示： 

　　

　　图1-4 查看“自定义的规则”的属性 

　　点击添加-->>下一步-->>下一步-->>下一步，出现安全规则向导，如图1-5所示： 

　　

　　图1-5 安全规则向导 

　　点击添加弹出IP筛选器列表，如图1-6所示： 

　　

　　图1-6 IP筛选列表 

　　点击添加-->>下一步-->>下一步，在IP源地址这选择任何IP地址，如图1-7所示： 

　　

　　图1-7 源地址选择“任何IP地址” 

点击下一步,在目标地址这选择“我的IP地址”，如图1-8所示： 

图1-8 目标地址选择“我的IP地址” 

点击下一步后，在IP协议类型这里选择“TCP协议”， -->>下一步把目录端口改成3389，如图1-9所示： 

图1-9 修改目的端口为3389 

单击下一步-->>完成-->>确定，选择刚才创建的IP筛选列表，单击下一步，如图1-10所示： 

图1-10 查看建好的IP筛选列表 

单击下一步，弹出IP筛选操作，如图1-11所示： 

图1-11 添加筛选操作 

单击下一步，给筛选器设置操作名称，如图1-12所示 

图1-12 命令操作规则 

单击下一步，在筛选器操作常规选项面板选择阻止，然后点击下一步，如图1-13所示： 

图1-13 选择操作行为为阻止 

单击下一步-->>点击完成，在筛选器操作面板选择阻止，单点下一步，如图1-14所示： 

图1-14 选择阻止 

单击下一步，点击完成，指派刚才所建的策略，使其生效，如图1-15所示： 

图1-15 指派策略,使其生效 

通上面策略创建与指派后，任何IP的任何端口都无法连接到服务器的3389端口，因些我们还需要建一条策略，允许我们指定的IP访问服务器的3389端口。创建允许指定的IP:192.168.0.120访问服务器3389，双击自定义规则，在自定义规则属性面板里添加策略，如图1-16所示： 

图1-16 新建策略 

点击添加后， -->>下一步，直到如图1-17所示，添加IP筛选列表： 

图1-17 IP筛选列表 

填写IP筛选列表相关信息，如图1-18所示： 

图1-18 添加IP筛选列表 

在添加IP筛选列表时下一步，下一步即可，直到指定源地址时，选择一个特定的IP地址，如图1-19所示： 

图1-19 指定源地址为一个特定的IP地址 

指定源地址后，点击下一步，选择目标地址为“我的IP地址”，协议为TCP，目标端口为3389，可以效仿图1-8至图1-10，直到如图1-20所示： 

图1-20 检查创建好的允许指定IP访问本机3389筛选IP列表 

回到安全规则向导面板，选择刚才创建的允许指定IP访问服务器3389端口的IP筛选列表，单击下一步，如图1-21所示： 

图1-21 选择IP筛选列表 

点击下一步后，在筛选器操作面板中选择系统默认的许可即可，然后单击下一步，如图1-22所示： 

图1-22 选择筛选器操作为许可 

通过以上设置后，点击下一步，直至完成，最后查看新建好的策略如图1-23所示： 

图1-23 查看自定义规则 

【总结】 

在设定策略的时候，要确保允许的策略在阻止策略上方，因为策略的执行顺序是从上至下，这两条规则同时使用才能实现限制IP访问服务器终端.点击确定后，重启下规则，先关闭指派，再重新指派下即可，至此，限制访问服务器终端全部完成。举一反三，我们可以通过上面的方法，我们可以限制只允许某一个网段访问服务器终端，只需在图1-19源地址选择”一个选定的了网”即可。

本文转自lovelace521 51CTO博客，原文链接：http://blog.51cto.com/lovelace/944785，如需转载请自行联系原作者