新建IP安全策略
- 启动组策略编辑器:按
WIN+R键,输入gpedit.msc并回车。 - 定位策略路径:依次展开“本地计算机”策略 → 计算机配置 → Windows设置 → 安全设置 → IP安全策略,在本地计算机上。
- 创建新策略:在右侧空白处右键,选择“创建IP安全策略”。
- 策略向导设置:
- 点击“下一步”。
- 在“名称”输入
3389过滤,点击“下一步”。 - 取消勾选“激活默认响应规则”,点击“下一步”。
- 勾选“编辑属性”,点击“完成”。
新建IP筛选器
- 添加筛选器列表:在刚弹出的“新IP安全策略属性”对话框,取消使用“添加向导”,点击“添加”。
- 创建放行规则:
- 在新弹出的“新规则属性”对话框,点击“添加”。
- 命名:输入
放行指定IP的3389连接。 - 地址配置:选择“地址”选项卡,源地址设为“一个特定的IP地址”,目标地址设为“我的IP”。取消勾选“镜像”。
- 协议配置:选择“协议”选项卡,协议类型选
TCP,设置IP协议端口为“从任何端口到此端口”,并填入3389。 - 点击“确定”关闭属性窗口。
- 创建阻止规则:
- 再次点击“添加”。
- 命名:输入
阻止3389连接。 - 地址配置:源地址设为“任意IP”,目标地址设为“我的IP”。
- 协议配置:协议类型选
TCP,端口设为3389。 - 点击“确定”。
为筛选器指定操作
- 添加阻止操作:在“新规则属性”对话框,选择“筛选器操作”选项卡,点击“添加”。
- 选择“阻止”,在“常规”选项卡里将名称改为
阻止,点击“确定”。
- 选择“阻止”,在“常规”选项卡里将名称改为
- 关联规则与操作:
- 在“IP筛选列表”选项卡,选中
放行指定IP的3389连接(确保圆圈被选中)。 - 切换到“筛选器操作”选项卡,选中
许可。 - 点击“确定”。
- 在“IP筛选列表”选项卡,选中
- 配置阻止规则:在
3389过滤属性里,点击“添加”,选中阻止3389连接,按上述方法给它指定阻止操作。 - 应用策略:确定后,右键
3389过滤,选择“指派”。无需重启即可生效。
主要功能
- IP白名单访问控制:通过组策略内置的IP安全策略机制,对发往本机3389端口的TCP连接进行筛选。输入为指定的源IP地址,输出为仅放行该IP的远程桌面连接,其余连接被丢弃。
- 双向规则配置:支持同时创建“放行”与“阻止”两条筛选器规则。输入为不同源IP范围(特定IP与任意IP),输出为对同一端口(3389)执行不同的许可或阻止操作。
- 无需额外软件:完全依赖Windows系统自带的“IP安全策略”管理单元。输入为系统策略配置,输出为内核级网络过滤,不依赖第三方防火墙或服务。
- 即时生效:策略指派后立即生效。输入为策略的“指派”操作,输出为无需重启系统或服务,网络连接控制即刻更新。
- 端口级过滤:精确控制到TCP协议的特定端口(3389)。输入为协议类型(TCP)和端口号,输出为仅对该端口的流量进行过滤,不影响其他端口通信。
使用要求
- 策略配置完成后需要执行“指派”操作才能生效。
- 创建筛选器时,务必取消勾选“镜像”选项,否则规则会应用于双向流量。
- 放行规则必须优先于阻止规则,确保指定IP能先被匹配并放行。
同类竞品对比
| 对比维度 | IP安全策略:只允许指定IP连接远程桌面 | Windows防火墙高级规则 | 第三方防火墙软件 |
|---|---|---|---|
| 配置复杂度 | 需要创建IP筛选器列表和筛选器操作两步 | 直接在入站规则中新建端口规则,步骤更少 | 通常有图形化界面,规则创建更直观 |
| 规则粒度 | 支持源IP、目标IP、协议、端口组合过滤 | 同样支持IP、协议、端口,并支持程序路径 | 多数支持更细粒度,如时间段、应用程序、用户等 |
| 生效机制 | 策略指派后立即生效,无需重启 | 规则保存后立即生效 | 规则应用后通常立即生效,部分需重启防火墙服务 |
| 依赖组件 | 依赖IPsec Policy Agent服务 | 依赖Windows Firewall服务 | 依赖自身安装的驱动和服务 |
| 系统集成度 | 深度集成,通过组策略管理,适合域环境 | 深度集成,通过高级安全MMC管理 | 独立运行,可能与其他系统组件有兼容性问题 |
应用场景
- 服务器远程管理:管理员需要从固定办公IP登录Windows服务器进行维护,防止暴力破解和未授权访问。
- 企业内部应用:限制特定内部系统(如ERP、OA)只能从公司内网或VPN的IP段访问其远程桌面端口。
- 安全合规审计:满足等保2.0等合规要求中,关于“应限制远程管理IP地址”的条款,提供明确的规则配置记录。
适用人群
- 系统管理员和IT运维人员。
- 需要强化Windows服务器远程桌面安全性的技术用户。
- 负责企业内部网络安全策略配置与合规的工程师。







这一切,似未曾拥有