服務器安全策略之《經過IP安全策略阻止某個IP訪問的設置方法》

時間 2019-12-10

原文原文鏈接

如今咱們在佈署好了一個網站，發佈到外網後就意味着將會接受來自四面八方的黑客攻擊，這個狀況很常見，咱們的網站基本上天天都要接受成千上萬次的攻擊，有SQL注入的、有代碼注入的、有CC攻擊等等。。。而我做爲一個程序員出生的，其實對於服務器管理方面是懂得不多的，而公司如今基本上我就是站長，我必須什麼都得弄，什麼都得去學會。咱們曾經也被攻擊成功後，大量網頁被注入代碼，文件中也注入了大量的後門，爲此公安局還找上門過，那個痛苦啊。。。自那之後，我明白我必需要去學一些關於服務器安全方面的東西了。後來咱們找了一個免費攔截攻擊的工具--360主機衛士，我不得不說這個仍是能起到必定做用的，可是也有一個問題，就是黑客在攻擊的時候，360能檢測到，可是幾乎是無法阻止的，大量攻擊時會形成網站訪問速度巨慢，這個時候首先想到的就是把攻擊的黑客IP給封掉，禁止他訪問網站，嘗試過在IIS上去設置，發現IIS上面的IP限制不怎麼管用，只能想其它方法了，查了一些資料後嘗試了一下經過IP安全策略阻止某個IP訪問的設置方法，設置以後確實有效。那麼本文將和你們分享一下經過IP安全策略阻止某個IP訪問的具體設置方法。程序員

第一步：打開本地安全策略數據庫

一、在「開始」-「運行」輸入「secpol.msc」回車即打開「本地安全策略」頁面，或是在「開始」-「程序」-「管理工具」-「本地安全策略」下打開，打開後以下圖所示，右鍵「IP安全策略，在本地計算機」-「管理IP篩選器表和。。。。」windows

第二步：管理IP篩選列表安全

1.在彈出以下圖所示「管理IP篩選列表」設置頁面。點擊「添加(D)…」服務器

2.輸入相應名稱和描述後點擊「添加….」,接着繼續點擊「下一步」網絡

3.在「IP流量源」頁面，在「源地址(S):」選擇「一個特定的IP地址或子網」，將須要阻止的IP加進去。而後繼續點擊「下一步(N)>」工具

4.接下來指定目標地址，在「目標地址(D):」選擇「個人IP地址」，而後繼續點擊「下一步(N)>」網站

5.在選擇IP協議類型頁面，因爲是阻止全部訪問，故在「選擇協議類型(S):」選擇「任意」，再次點擊「下一步(N)>」，到達「完成」頁面spa

第三步：管理篩選器操做.net

1.在下圖界面，選擇「管理篩選器操做」標籤頁面進行篩選器操做，而後選擇「添加(D)…」，而後按嚮導點擊「下一步(N)>」

2.接下來爲篩選器輸入名稱及描述，而後點擊「下一步(N)>」

3.這時到了篩選器操做選項，選擇「阻止(L)」，繼續點擊「下一步(N)>」，直至「完成」狀態

第四步：建立IP安全策略

1.以下圖，在「本地安全策略」頁面，右鍵點擊「IP安全策略，在本地計算機」，選擇「建立IP安全策略(C)…」，開始建立IP安全策略。

2.接下來在IP安全策略名稱設置頁面設置相應「名稱」和「描述」，而後連續點擊「下一步(N)>」，直至完成，選擇」編輯屬性(P)」完成後進行IP安全策略編輯

3.在該IP安全控制策略屬性頁面，選擇「添加（D）…」，而後點擊「下一步(N)>」

4.在「隧道終結點」頁面選擇「此規則不指定隧道（T）」, 點擊「下一步(N)>」

5.接下來在「網絡類型」頁面選擇「全部網絡鏈接(C)」，而後點擊「下一步(N)>」

6.這時到了IP篩選列表選擇頁面，選擇以前建立的名稱爲「阻止IP訪問」的IP篩選器，而後點擊「下一步(N)>」

7.在「篩選器操做」頁面選擇以前建立的「Deny」篩選器，而後點擊「下一步(N)>」，直至完成

8.最後在該IP安全控制策略屬性頁面「規則」-「IP安全規則」中選中上面設置的規則，而後「肯定」完成。

第五步：分配策略

在「本地安全策略」頁面，右鍵點擊上面建立完成的IP控制策略，選擇「分配(A)」。

至此大功告成！

如須要繼續增長IP地址，步驟以下：

而後重複「第二步：管理IP篩選列表」的步驟便可。

完！！！！！

下面腳本之家小編繼續爲你們分享一些知識：

須要接受的

源地址	目標地址	協議（端口）
個人ip地址	任何ip地址	UDP（53）
任何ip地址	個人ip地址	UDP（53）

下面是須要禁止的端口：包括數據庫等

源地址（任意ip弟子）目標地址(個人ip弟子)

協議	端口
TCP	3095
TCP	3096
TCP	3097
TCP	1025
TCP	135
TCP	139
TCP	3001
TCP	3002
TCP	3003
TCP	445
UDP	任何
TCP	88
TCP	389
TCP	464
TCP	593
TCP	636
TCP	1720
TCP	1433
TCP	3306
UDP	123
TCP	4899
UDP	4899