利用IP安全策略阻止访问特定的IP网段共享文件夹

作者:邓卫华 2009.10 ,2010-1-21更新

博客:http://dengweihua1.51cto.com

前言:

因为公司所有用户的USB端口全部封闭了,所以公司全部的数码相机导入照片全部是由信息课的同事帮助导入公司内网的,造成了人员精力的浪费,所以我们决定设置一台公用电脑(由公用扫描/打印服务器来担任)由用户来导入照片,能为信息课省掉不少事。但是这样做可能会导致从这台打印服务器的USB口造成数据泄露,为了防止这个问题我们决定设置安全策略只允许打印服务器访问文件服务器上的共享,为了不影响用户共享,需要“允许”客户机访问打印服务器的共享文件夹。同时打印服务器开启共享文件夹,域用户可以对这个共享文件夹只读。为了实现这个功能我们决定采用WINDOWS自带的“本地安全策略”来实现。过程如下:

以上的介绍仅仅起个抛砖引玉的作用,您也可以根据这个方问设置不允许用户访问WEB等功能。

打印服务器---->只能访问“文件服务器”上的共享,不许访问客户机共享。

客户机------>可以访问打印服务器的共享。

一、打开“控制面板”----“本地安全策略”-----IP安全策略

clip_image002[1]

《图一》

二、在“IP安全策略,在本地计算机”上点右键,选择“管理IP筛选器表和筛选器操作(M)…”打开管理器操作对话框

clip_image004[1]

<图二>

clip_image006[1]

<图三>

本文出自:http://dengweihua1.blog.51cto.com 作者:邓卫华 转载请声明出处。

三、在上图上选择“添加”增加一个叫“非服务器IP地址网段”的策略.

clip_image008[1]

<图四>

四、在上图中取消“使用添加向导”;然后点击“添加”按钮进入设置窗口。

本文出自:http://dengweihua1.blog.51cto.com 作者:邓卫华 转载请声明出处。

image

<图五>

说明:在上图中:源地址采用默认的“我的IP地址”,目标地址选择“一个特写的IP子网”,在我的工作环境中我需要该服务器只能访问192.168.0.1~192.168.0.128 的IP段(此网段为服务器IP网段).

五、在上图中选择“协议

image

<图六>

说明:因为是拒绝访问非服务器外的共享,所以“选择协议类型”采用TCP,“从任意端口”到此端口(139)

六、重复“图四”共增加“TCP 139/445”共2个目标端口。

==========================

六、增加IP筛选器的动作。

在“图三”中选择“管理筛选器操作”,点击“添加”选择“阻止

clip_image017

<图七>

clip_image019

<图八>

完成后的界面如下:

image

<图九>

七、创建IP策略

在<图二>中选择“创建IP策略”,取消“激活默认响应规则”,“下一步”后点击“完成”

clip_image024[1]

八、在窗口中取消“使用添加向导”,然后点击“添加”按钮

clip_image026[1]

九、在弹出的窗口中选择刚才新建的IP筛选器。

clip_image028[1]

十、在“筛选器操作”框中选择执行的动作。后确定完成操作。

clip_image030[1]

十一、对刚才新建的策略进行“指派”

clip_image032[1]

================

好了,现在我们来看看结果。

一、首先不对策略进行指派。在下图的右窗口中的策略“拒绝访问服务器共享”设置为未指派,可以可以访问192.168.0.141电脑的共享。

本文出自:http://dengweihua1.blog.51cto.com 作者:邓卫华 转载请声明出处。

clip_image034

二、对“拒绝访问服务器共享”策略进行指派后的结果。

clip_image036

本文出自:http://dengweihua1.blog.51cto.com 作者:邓卫华 转载请声明出处。