摘要

安全策略

IP安全策略，簡單的來說就是可以通過做相應的策略來達到放行、阻止相關的端口；放行、阻止相關的IP，如何做安全策略，小編為大家詳細的寫了相關的步驟：

解說步驟：

阻止所有：

打開本地安全策略：

開始－運行－輸入secpol.msc或者開始－程序－管理工具－本地安全策略

彈出來的窗口中，右擊IP安全策略，在本地計算機

1.　創建IP安全策略：

2.　進入配置向導：直接下一步

3.　直接就命名：IP　安全策略，然后下一步

4.　“激活默認響應規則”不要勾上，不要勾上，直接下一步

5.　“編輯屬性”前面也不要勾上，直接點完成

6.　可以看下雛形出來了

7.　雙擊策略，彈出窗口IP安全策略屬性；去掉“使用添加向導”前面的勾

8.　點擊上圖中的"添加"出現下圖：

9.　點擊上圖中的“添加”彈出以下窗口，命名名稱為，阻止所有，也就是待會下面所講的阻止所有的端口及IP訪問

10　.點擊上圖中的“添加”彈出如下窗口：地址我們就都選“任何IP地址”

源地址：就是訪問的IP地址

目標地址：就是主機的IP地址

11.　設置完地址后再設置協議，可以下拉看到有很多種，這里也就設置任意

12.　點擊上圖中的確定，再回到“新規則屬性”下面，之前設置的是“IP篩選器列表”，現在設置“篩選器操作”

13.　我們要添加一個阻止，先做一個阻止所有端口、IP訪問進出的操作，然后再逐個放行，這個應該可以理解。我們先點常規，改個名“阻止”，然后確定。

14.　上圖確定好后，再看“安全措施”，選中“阻止”

15.　上圖確定后，我們就可以得到如下窗口了。我們會發現有“允許”，有“阻止”，這就是我們想要的，我們點擊阻止；還有就是記得同時也要點上“IP篩選器列表”里的“阻止所有”不然就沒有具體的操作對象了。

16.　上面都設置好了，確定好后我們再回到最原始的窗口也就是“IP安全策略屬性里”我們可以看到一個“阻止所有”的策略了

逐個放行：

這上面就是一個阻止所有的策略了，下面我們要逐個放行，其實具體過程和上面是一樣的；設置“IP篩選器列表”可以改成允許相關的端口，比如說“遠程”那么默認的遠程端口就是3389

17.　還是和“阻止所有”里一樣的操作，只不過換成允許遠程

18.　下面就是篩選操作了。如果本地的IP是靜態的或者IP是動態但經常在那個幾個范圍內變化，那么建議使用一個特定的IP子網；然后目標地址就是“我的IP地址”，如果本地IP動態的根本無法確定時就用“任何IP地址”

19.　設置完址后再設置協議。遠程訪問用的是3389端口，協議類型是TCP，就按照圖中設置：

上面確定完之后還要設置篩選器操作里面選擇“允許”不然就沒用，具體回到步驟15看一下。

遠程允許后最后再讓策略生效：右擊IP　安全策略，指派就可以了

除了上面放行的3389端口之外，實際生產環境中還要放行80端口不然別人訪問不了你的網站，如果你的網站在調用時還要訪問到別人的網站那么還得放行服務器對外的80端口號（因為阻止所有里是不管對外還是對內的端口都是封著的）。

數據庫的端口一般建議別放行，可以直接在服務器里操作，如果非要在本地連接數據庫的話可以和遠程連接設置一樣，放行相關的IP就行。

還有其他的一些端口可以根據自己的需要進行放行。

剛開始設置時可能會出錯，如果一出錯就可能導致你無法遠程

另外，有時可能出現打開安全策略報錯“在保存ip安全數據時出現下列錯誤：指定的服務并未以已安裝的服務存在。（80070424）”　這個是由于服務“IPSEC Services”沒有開啟。

總結：做IP安全策略對服務器的安全有很大幫助！

使用命令創建安全策略

IPSec 是一種開放標準的框架結構，它通過使用加密安全服務來確保 IP 網絡上保密安全的通信。Windows 的 IPSec 執行基于由 Internet 工程任務組 (IETF) IPSec 工作組開發的標準。

IPsec 可建立從源 IP 地址到目標 IP 地址的信任和安全。只有那些必須了解通信是安全的計算機才是發送和接收的計算機。每臺計算機都假定進行通信的媒介不安全，因此在各自的終端上處理安全性。

IPSec 策略用于配置 IPSec 安全服務。支持TCP、UDP、ICMP、EGP等大多數通信協議，可為現有網絡中的通信提供各種級別的保護。可以根據計算機、域、站點的安全需要來配置策略。

IPSec 策略由常規 IPSec 策略設置和規則組成。 下面以命令行的角度講述 IPSec 策略的創建和使用，比較直觀。

代碼如下:

登錄后復制?

REM 1.創建策略
netsh ipsec static add policy name="某IP策略"</p> <p>REM 2.創建篩選器操作
netsh ipsec static add filteraction name="阻止" action=block
REM netsh ipsec static add filteraction name="允許" action=permit</p> <p>REM 3.創建篩選列表
netsh ipsec static add filterlist name="某篩選列表"</p> <p>REM 4.創建篩選器
netsh ipsec static add filter filterlist="某篩選列表" srcaddr=any dstaddr=me dstport=8080 description="8080端口訪問控制" protocol=TCP mirrored=yes</p> <p>REM 5.創建策略規則
netsh ipsec static add rule name="某篩選規則" policy="某IP策略" filterlist="某篩選列表" filteraction="阻止"</p> <p>REM 6.激活策略
netsh ipsec static set policy name="某IP策略" assign=y

?

網絡安全學習路線

對于從來沒有接觸過網絡安全的同學，我們幫你準備了詳細的學習成長路線圖。可以說是最科學最系統的學習路線，大家跟著這個大的方向學習準沒問題。

同時每個成長路線對應的板塊都有配套的視頻提供：

需要網絡安全學習路線和視頻教程的可以在評論區留言哦~

最后

• 如果你確實想自學的話，我可以把我自己整理收藏的這些教程分享給你，里面不僅有web安全，還有滲透測試等等內容，包含電子書、面試題、pdf文檔、視頻以及相關的課件筆記，我都已經學過了，都可以免費分享給大家！

給小伙伴們的意見是想清楚，自學網絡安全沒有捷徑，相比而言系統的網絡安全是最節省成本的方式，因為能夠幫你節省大量的時間和精力成本。堅持住，既然已經走到這條路上，雖然前途看似困難重重，只要咬牙堅持，最終會收到你想要的效果。

黑客工具&SRC技術文檔&PDF書籍&web安全等（可分享）

結語

網絡安全產業就像一個江湖，各色人等聚集。相對于歐美國家基礎扎實（懂加密、會防護、能挖洞、擅工程）的眾多名門正派，我國的人才更多的屬于旁門左道（很多白帽子可能會不服氣），因此在未來的人才培養和建設上，需要調整結構，鼓勵更多的人去做“正向”的、結合“業務”與“數據”、“自動化”的“體系、建設”，才能解人才之渴，真正的為社會全面互聯網化提供安全保障。

特別聲明：
此教程為純技術分享！本教程的目的決不是為那些懷有不良動機的人提供及技術支持！也不承擔因為技術被濫用所產生的連帶責任！本教程的目的在于最大限度地喚醒大家對網絡安全的重視，并采取相應的安全措施
，從而減少由網絡安全而帶來的經濟損失