使用本地IP安全策略阻止指定IP访问本机

最新推荐文章于 2024-03-14 17:05:36 发布
最新推荐文章于 2024-03-14 17:05:36 发布
阅读量2.9k 收藏 6
点赞数
分类专栏: windows操作系统 安全 文章标签: IPSec IP安全策略 WFP 防火墙 阻止IP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/psbeond/article/details/111612836
版权

作者:刘树伟

日期:2020-12-24

 

Windows防火墙可以阻止所有IP访问本机,如果想让某个IP访问本机,就把它加到“例外”规则中,“例外”规则就相当于白名单,但防火墙没有黑名单,不能指定阻止某个IP的访问。

 

如果想阻止某个IP访问本机,可以使用“本地IP安全策略”。运行“secpol.msc”可以打开“本地安全设置”,里面有“IP 安全策略,在 本地计算机”设置项,通过它,就可以达到阻止指定IP访问本机的目的。

 

如果想这么做,首先要在“IP 安全策略,在 本地计算机”中创建一条“IP 安全策略”,然后在新建的“IP 安全策略”中,创建一条“IP 筛选器列表”,在新建的“IP 筛选器列表”中,创建一条或多条“IP 筛选器”,“IP 筛选器”就指定了远程IP的IP地址、要访问本机的端口、访问协议等。并为每条新建的“IP 筛选器”创建一个“筛选器操作”,“筛选器操作”指定了是阻止、放行还是协商三个动作之一。

 

这样,当指定的远程IP要访问本机某个端口时,就会遍历“IP 安全策略,在 本地计算机”中的策略列表,遍历到你新建的策略后,再遍历其中的“IP 筛选器列表”,遍历到你新建的“IP 筛选器列表”后,再遍历其中的“筛选器”。依据筛选器和筛选器操作指定的规则来对待某次网络访问(例如是放行还是阻止)。

 

IP安全策略支持从Win2000开始的所有Windows系统。

 

限制:

在Server2003上,不支持IPV6,高版本支持;

在所有系统上,不支持过滤IP范围,但可以通过子网掩码指定过滤某个子网;

在所有系统上,不支持过滤端口范围,如果有这个需求,只能把一个个端口加到“筛选器列表”中。

 

在Server2003上,通过nets命令行工具的ipsec参数,可以代替UI来操作IP安全策略:

建立一个IP 安全策略(空的),名字为scottliu

 在[IP 安全策略,在 本地计算机]的右侧列表中,新增scottliu项。

 netsh ipsec static add policy name=scottliu

 

 删除一个IP 安全策略

 上面刚建立的scottliu策略就会被删除

 netsh ipsec static delete policy name=scottliu

 

 建立一个筛选器列表(空的),名字为denyip

 在[IP 安全策略,在 本地计算机 | 右侧的操作窗口中 | 更多操作 | 管理IP筛选器列表和筛选器操作 | 管理IP筛选器列表]的“IP筛选器列表”中,新增denyip项。

 netsh ipsec static add filterlist name=denyip

 

 建立一个筛选器,并加到刚建立的筛选器列表denyip中

 在[IP 安全策略,在 本地计算机 | 右侧的操作窗口中 | 更多操作 | 管理IP筛选器列表和筛选器操作 | 管理IP筛选器列表]的“IP筛选器列表”中,双击denyip项,在IP筛选器列表中,新增一条记录。

 netsh ipsec static add filter filterlist=denyip srcaddr=192.168.40.2 dstaddr=Me dstport=3389 protocol=TCP

 

 删除刚创建的筛选器

 // netsh ipsec static delete filter filterlist=denyip srcaddr=192.168.40.2 dstaddr=Me dstport=3389 protocol=TCP

 

 建立一个筛选器操作(即阻止还是放行),名字叫denyact

 在[IP 安全策略,在 本地计算机 | 右侧的操作窗口中 | 更多操作 | 管理IP筛选器列表和筛选器操作 | 管理筛选器操作]的“筛选器操作”列表中,新增denyact项。

 netsh ipsec static add filteraction name=denyact action=block

 

 把上面建的组成一条规则加入规则到安全策略scottliu,规则名为kill3389

 在[IP 安全策略,在 本地计算机 | 右侧的scottliu策略上右键选属性 | 规则 | IP安全规则 | IP筛选器列表]中,多了一项denyip并自动勾选。

 netsh ipsec static add rule name=kill3389 policy=scottliu filterlist=denyip filteraction=denyact

 

 激活scottliu这个策略

 相当于在scottliu这个策略上右键,选“分配”。

 netsh ipsec static set policy name=scottliu assign=y

 

 删除所有安全策略

 netsh ipsec static del all

 

源代码中的IPSecCreatePolicyData应该是创建策略。

真正创建的地方,应该是PersistPolicyObject

MarshallPolicyBuffer这个是组合ipsecData键的二进制数据。

policy-r.c是主要实现文件。

 

从Vista开始,微软新增加了WFP API来代替“IP 安全策略”来阻止指定IP访问本机,并且功能更强大,上面说的那些限制,WFP都没有。

 

psbeond
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在 CloudFlare 里屏蔽/拦截某个 IP 或者 IP 地址段
草根博客站长明月登楼的CSDN博客
05-11 857
好了,到这里就给大家分享完 CloudFlare 如何屏蔽拦截 IPIP 地址段了,如果不知道什么是 IP 地址段的话,可以理解是 IP 地址的一个特定范围,没有必要尽量不要去拦截 IP 地址段,误伤率是非常高的,严重的掉收录、被 K 站都有可能,所以屏蔽拦截 IP 地址段要慎重,不懂的话可以多多百度/谷歌一下!
Windows下通过ip安全策略设置只允许固定IP远程访问
01-10
通过设置IP安全策略限制固定IP访问 说明: (1)以XP环境为例,步骤:先禁止所有IP,再允许固定IP访问。 (2)配置过程中很多步骤图是重复的,一些没价值的图就省略了; (3)光看的话可能中间重复配置 安全规则和IP...
windows10使用本地安全策略只允许某些ip访问远程计算机
qq_44724453的博客
12-16 7717
windows10只允许某些ip访问远程计算机
通过防火墙禁止访问指定网站(个人电脑,Windows系统)
AbaloneVH的博客
11-12 1万+
背景:近年沉迷B站视频不能自拔,使用了诸多手段禁用,都很容易破戒。为了彻底杜绝B站的使用,决定手动进行设置。
IP安全策略阻止某端口访问
木卯彳亍的博客
08-05 3205
点击添加,弹出 新规则 属性弹窗,点击添加,弹出IP筛选器列表弹窗。点击关闭->点击确定,关闭新IP 安全策略 属性 弹窗。控制面板->管理工具->本地安全策略。在右边空白处右键,创建IP安全策略。取消 使用“添加向导”前面的勾选。右键选中刚才创建的新IP安全策略。点击IP安全策略,在本地计算机。一直下一步,点完成,到这一步。选中刚才创建的筛选器操作。目标地址:我的IP地址。选中刚创建的筛选器列表。切换到筛选器操作,添加。源地址:任何IP地址。策略已指派变为“是”...
使用本地安全策略IP策略,阻止指定IP访问你的计算机的任何端口
quanrayanthony的专栏
11-30 5406
方法:  以2003为例(2003和XP界面完全一样,win7和2008未试验):   打开:控制面版--管理工具-本地安全设置。点左边的 IP安全策略,在本地计算机。  然后在右边点右键--创建IP安全策略,打开IP安全策略向导。  下一步,出现IP安全策略名称,在这里给策略起名,例如:test。 下一步,出现激活默认响应规则,不要选中,把钩去掉。  下一步,选中编辑属性,完成。
禁止工作站计算机IP访问本机电脑
m0_62824185的博客
03-25 1450
出于安全考虑,需要对服务器计算机配置规则:禁止工作站计算机IP访问本机电脑。 使用方法:用本地安全策略限制工作站计算机IP
限定特定的IP访问服务器
weixin_34308389的博客
09-08 1565
需求:windows and Linux系统仅限指定IP或网段登陆解决方法和思路:1. Windows设置的方法有多种:方法一:通过本机自带的防火墙设置限制IP访问,修改下面三个规则属性:点击属性,查看对应设置:设定可以访问的地址段或IP,即可方法二:通过IP安全策略控制:打开本地安全策略:开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略弹出来的...
win2003 ip安全策略 限制某个IPIP访问服务器指定端口图文说明
09-30
在Windows Server 2003操作系统中,为了增强网络安全,我们可以使用IP安全策略来限制特定IP地址或IP段对服务器的访问,特别是针对指定端口的访问。这通常用于保护服务器资源,确保只有授权的内部IP能够访问敏感服务...
创建和使用IP安全策略加强安全和保密
10-01
4. **创建筛选器**:接着,添加筛选器到筛选列表中,定义特定的IP地址、端口和协议,如`netsh ipsec static add filter`,此处例子中限制了任意IP本机8080端口的TCP访问。 5. **创建策略规则**:将筛选器与筛选器...
阻止制定IP访问本机屏蔽与目标IP的所有通讯
02-05
描述中提到的“基于ip安全策略阻止指定主机IP访问本机”,意味着我们需要创建一个IPSec规则,该规则定义了哪些IP地址不允许与本地机器进行通信。这可以通过以下步骤完成: 1. **打开管理工具**:在Windows中,可以...
windows 设置禁止某个IP访问
snow8261的专栏
07-30 4066
比较复杂,还是linux改配置比较简单 步骤1:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,取消选中“使用添加向导”,在管理IP筛选器和IP筛选器操作,列表中添加一个新的过滤规则,名称输入“拒绝访问”,然后按添加,在源地址选“一个特定的IP地址”在IP地址中填入218.18.217.142,目标地址选我的IP地址,协...
服务器安全IP安全策略,批处理屏蔽危险端口
热门推荐
大头爸爸的博客
09-10 1万+
服务器的安全设置环节中,必不可少的操作环节是要屏蔽一些危险端口。如果人为的在“控制面板”、“管理工具”、“本地安全设置”中手工设置IPSEC安全策略的话,不仅麻烦,稍有疏忽就容易出错。本篇内容就介绍了利用批处理的优势来完成屏蔽危险端口的设置,当然,只要你愿意,任何端口都可屏蔽,只要在配置文件中添加需要屏蔽的端口就行了。这个批处理经过我测试使用,非常的方便、省事。 屏蔽危险端口方法一 这个工具主
windows中的出站和入站规则
最新发布
男神的专栏
03-14 3950
另外,这里配置的是阻止连接,还有允许连接,因为默认的就是允许连接,因为你不能直接就禁止一个客户端程序访问它的服务器,比如网易云音乐。对端口设置阻止连接后,本机向外的请求中,如果请求的远程服务器端口是设置的端口,那么请求会被拦截。可以设置所有端口,那么所有请求都会被拦截。入站规则是用来限制远程主机访问本机的服务的,就是说,本机接收的请求中如果被请求的程序或具体端口是被限制的,该请求被拦截。出则规则使用来限制对外访问的,也就是说从本机发出的请求中,如果请求的对象是被禁止的,该请求会被拦截,表现方式就是断网。
计算机策略中封运行程序,使用组策略封禁IP地址的方法
weixin_35718242的博客
07-16 1398
在Windows服务器或电脑受到某个IP大量发包攻击时,系统会变得很慢、上网慢,引发一系列的问题,当查到攻击来源IP后,可以通过组策略直接封禁IP。本文以当前Windows系统受到了来自 10.89.78.98 这个IP的攻击,通过组策略设定来禁止此IP。打开组策略控制台点击开始——运行(win7以上直接在搜索中输入)——gpedit.msc回车。如图:打开“IP安全策略,在本地计算机”在左侧依次...
Windows系统安全从定制IP策略开始
weixin_34242331的博客
01-17 277
如今病毒、******的方式是多种多样,尤其是计算机端口更是病毒"攻占"的重点部位,你是否曾遇到这样的情况,当我们安装上诸如天网防火墙上网时,只见感叹号跳个不停。   打开一看都是类似于"xxx.xxx.xxx.xxx 试图连接本机的xxx端口,该操作被拒绝"之类的操作提示,这就是一些病毒、******端口的表现。   概念常识   在上述情况进行解决之前,我们先要对一...
ipsec ip替换_采用IPSec策略编程实现屏蔽IP功能
weixin_39567222的博客
12-20 383
Windows下实现屏蔽IP的功能,很多人可能会联想到使用一些复杂的技术来解决,比如NDIS中间层驱动,甚至NDIS钩子驱动。但这些技术太过深奥,只有精通Windows编程的人才玩得转。如果你对Windows编程不是特别了解又没有太多时间,或者你根本一窍不通,那么你可以试试采用Windows网络配置命令netsh来解决这些问题。本文是采用advfirewall(本文不予探讨,有兴趣的可以点击链接查...
windos 采用IPSec策略编程实现屏蔽IP功能
firesnow的博客
08-06 2099
屏蔽192.168.1.2的远程登录 '建立一个名字叫XBLUE的安全策略先 netsh ipsec static add policy name=XBLUE '建立一个ip筛选器,指定192.168.1.2 netsh ipsec static add filterlist name=denyip netsh ipsec static add filter filterlist=denyip
windows10专业版指定IP地址远程桌面访问IP安全策略
qq_42177204的博客
02-20 1万+
1,打开【本地安全策略】,点击【IP安全策略,在本地计算机】,进入IP安全策略页面。 2,设置IP筛选器列表和筛选器 2.1设置允许指定IP访问本机3389端口的IP筛选项 2.1.1 右键单击,选择‘管理IP筛选器列表和筛选器操作(M)’ 2.1.2单击<添加>按钮,设置IP筛选器列表名称,并点击下面的<添加>按钮 2.1.3 <源地址&g...
车载电子电器架构 —— IP地址获取策略.docx
03-02
车载电子电器架构 —— IP地址获取策略

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值