Windows系统在IP安全策略中限制某个IP访问某个特定端口

Windows服务器的某些端口暴露在公网中具有很大风险，不想让任意IP可以访问这些端口，可以在防火墙或者IP安全策略中添加规则限制。

比如想禁止192.168.0.1（也可以是个网段:192.168.0.1/24）访问本机的3389端口，可以在IP安全策略中添加如下规则:

1.控制面板-管理工具-本地安全策略-打开IP安全策略

2.右键-管理IP筛选器列表和筛选器操作

3.在IP筛选器列表中点击添加，并取名

4.在该页面下继续点击添加，可以取消勾选使用"添加向导"，比较快速。

在源地址中选择“一个特定的IP地址”并输入你想屏蔽的IP，目的地址选“我的IP地址”，

点击确定，可以看到配置的此条规则的内容，包括源地址，目标地址，源端口，目标端口，协议等内容。

可以看到目前配置表示将192.168.0.1到"我的IP地址"的任何端口，任何协议都加入了筛选器。而我们想要的只是不让访问"我的IP地址"的3389端口，所以需要将协议及目标端口也明确。

点击刚才添加的规则-协议，可以看到默认的就是任何协议，根据实际端口用的协议进行选择，比如3389远程桌面用的tcp协议，选择tcp协议，并指定从任意端口到此端口3389。(只有选择了指定协议之后才能指定端口)(某些端口比如dns的53端口tcp及udp协议都使用，需要确认具体想屏蔽哪一个协议，如果不想让任意IP对dns进行查询，那需要屏蔽使用udp协议的53端口，如果选择错了存在的漏洞还是会探测出来)

5.继续点击确定，再点确定，回到了最开始的管理IP筛选器列表和筛选器操作，刚才添加的是管理IP筛选器列表，现在需要管理筛选器操作。

取消使用"添加向导"，点击添加。在安全方法中选择"阻止"，在常规中对此规则起名字。

点击"应用"，"确定"。

6.此时在IP安装策略中还是不能看到刚才配置的新策略，和之前一样为空。需要继续设置。

右键-创建IP安全策略，命名为"限制特定IP访问3389"，下一步。

不要勾选"激活默认响应规则"，下一步。选中"编辑属性"，然后点击完成。

7.进入刚刚创建的编辑"限制特定IP访问3389"的属性，点击添加，还是不要勾选使用添加向导。

在IP筛选器列表中选择最开始创建的"禁止192.168.0.1访问3389端口"，在筛选器操作中选择"屏蔽特定IP访问3389"，起太多名有点乱，最好还是在一开始创建的时候都用一个名字。

点击确定，再点击确定，可以看到此条策略已经出现在IP策略中了。

8.右键此条策略，选择"分配"，此时禁止192.168.0.1访问本机的3389端口的策略才算配置成功。(禁止某个网段访问某个端口，或者允许某个IP访问某个端口可以照着做)