Windows server网络安全

择要

安全计谋

IP安全计谋，简单的来说就是可以通过做相应的计谋来达到放行、阻止干系的端口；放行、阻止干系的IP，如何做安全计谋，小编为大家详细的写了干系的步骤：
解说步骤：

阻止全部：

打开本地安全计谋：
开始－运行－输入secpol.msc或者开始－程序－管理工具－本地安全计谋
弹出来的窗口中，右击IP安全计谋，在本地计算机
1.　创建IP安全计谋：

2.　进入配置向导：直接下一步

3.　直接就定名：IP　安全计谋，然后下一步

4.　“激活默认响应规则”不要勾上，不要勾上，直接下一步

5.　“编辑属性”前面也不要勾上，直接点完成

6.　可以看下雏形出来了

7.　双击计谋，弹出窗口IP安全计谋属性；去掉“利用添加向导”前面的勾

8.　点击上图中的"添加"出现下图：

9.　点击上图中的“添加”弹出以下窗口，定名名称为，阻止全部，也就是待会下面所讲的阻止全部的端口及IP访问

10　.点击上图中的“添加”弹出如下窗口：地址我们就都选“任何IP地址”
源地址：就是访问的IP地址
目标地址：就是主机的IP地址

11.　设置完地址后再设置协议，可以下拉看到有很多种，这里也就设置任意

12.　点击上图中的确定，再回到“新规则属性”下面，之前设置的是“IP筛选器列表”，现在设置“筛选器操作”

13.　我们要添加一个阻止，先做一个阻止全部端口、IP访问进出的操作，然后再逐个放行，这个应该可以明白。我们先点常规，改个名“阻止”，然后确定。

14.　上图确定好后，再看“安全措施”，选中“阻止”

15.　上图确定后，我们就可以得到如下窗口了。我们会发现有“允许”，有“阻止”，这就是我们想要的，我们点击阻止；另有就是记得同时也要点上“IP筛选器列表”里的“阻止全部”否则就没有详细的操尴尬刁难象了。

16.　上面都设置好了，确定好后我们再回到最原始的窗口也就是“IP安全计谋属性里”我们可以看到一个“阻止全部”的计谋了

逐个放行：

这上面就是一个阻止全部的计谋了，下面我们要逐个放行，实在详细过程和上面是一样的；设置“IP筛选器列表”可以改成允许干系的端口，好比说“远程”那么默认的远程端口就是3389
17.　还是和“阻止全部”里一样的操作，只不过换成允许远程

18.　下面就是筛选操作了。如果本地的IP是静态的或者IP是动态但常常在那个几个范围内变革，那么发起利用一个特定的IP子网；然后目标地址就是“我的IP地址”，如果本地IP动态的根本无法确定时就用“任何IP地址”

19.　设置完址后再设置协议。远程访问用的是3389端口，协议范例是TCP，就按照图中设置：

上面确定完之后还要设置筛选器操作里面选择“允许”否则就没用，详细回到步骤15看一下。
远程允许后最后再让计谋生效：右击IP　安全计谋，指派就可以了

除了上面放行的3389端口之外，实际生产环境中还要放行80端口否则别人访问不了你的网站，如果你的网站在调用时还要访问到别人的网站那么还得放行服务器对外的80端标语（因为阻止全部里是不管对外还是对内的端口都是封着的）。
数据库的端口一般发起别放行，可以直接在服务器里操作，如果非要在本地毗连数据库的话可以和远程毗连设置一样，放行干系的IP就行。
另有其他的一些端口可以根据自己的须要进行放行。
刚开始设置时可能会出错，如果一出错就可能导致你无法远程
另外，有时可能出现打开安全计谋报错“在生存ip安全数据时出现下列错误：指定的服务并未以已安装的服务存在。（80070424）”　这个是由于服务“IPSEC Services”没有开启。
总结：做IP安全计谋对服务器的安全有很大帮助！


利用命令创建安全计谋
IPSec 是一种开放尺度的框架结构，它通过利用加密安全服务来确保 IP 网络上保密安全的通信。Windows 的 IPSec 执行基于由 Internet 工程任务组 (IETF) IPSec 工作组开辟的尺度。
IPsec 可建立从源 IP 地址到目标 IP 地址的信托和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介不安全，因此在各自的终端上处置惩罚安全性。
IPSec 计谋用于配置 IPSec 安全服务。支持TCP、UDP、ICMP、EGP等大多数通信协议，可为现有网络中的通信提供各种级别的保护。可以根据计算机、域、站点的安全须要来配置计谋。
IPSec 计谋由常规 IPSec 计谋设置和规则组成。 下面以命令行的角度讲述 IPSec 计谋的创建和利用，比较直观。

代码如下:

登录后复制 

1. REM 1.创建策略
2. netsh ipsec static add policy name="某IP策略"</p> <p>REM 2.创建筛选器操作
3. netsh ipsec static add filteraction name="阻止" action=block
4. REM netsh ipsec static add filteraction name="允许" action=permit</p> <p>REM 3.创建筛选列表
5. netsh ipsec static add filterlist name="某筛选列表"</p> <p>REM 4.创建筛选器
6. netsh ipsec static add filter filterlist="某筛选列表" srcaddr=any dstaddr=me dstport=8080 description="8080端口访问控制" protocol=TCP mirrored=yes</p> <p>REM 5.创建策略规则
7. netsh ipsec static add rule name="某筛选规则" policy="某IP策略" filterlist="某筛选列表" filteraction="阻止"</p> <p>REM 6.激活策略
8. netsh ipsec static set policy name="某IP策略" assign=y

复制代码

 
网络安全学习路线

对于从来没有打仗过网络安全的同学，我们帮你预备了详细的学习成长路线图。可以说是最科学最体系的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

须要网络安全学习路线和视频教程的可以在评论区留言哦~
最后

   

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不但有web安全，另有渗出测试等等内容，包含电子书、面试题、pdf文档、视频以及干系的课件笔记，我都已经学过了，都可以免费分享给大家！
  

    给小搭档们的意见是想清楚，自学网络安全没有捷径，相比而言体系的网络安全是最节流本钱的方式，因为可以大概帮你节流大量的时间和精力本钱。坚持住，既然已经走到这条路上，虽然前程看似困难重重，只要咬牙坚持，终极会收到你想要的效果。
  黑客工具&SRC技术文档&DF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多王谢正派，我国的人才更多的属于旁门左道（很多白帽子可能会不平气），因此在未来的人才培养和建设上，须要调解结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才气解人才之渴，真正的为社会全面互联网化提供安全保障。
   特殊声明：
此教程为纯技术分享！本教程的目标决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目标在于最大限度地叫醒大家对网络安全的器重，并采取相应的安全措施
，从而淘汰由网络安全而带来的经济丧失
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。