【原创】使用 IPsec限制服务器远程桌面连接 2008-04-03 16:46 远程桌面大家都很熟悉了,对于服务器的远程管理非常方便,当然有方便的地方就会有风险,合理控制远程桌面的连接是非常必要的,方法也很多,可以通过修改 w indow s 默认的远程桌面端口;使用 w indow s 防火墙;设置远程桌面选择特定的远程用户等等,这里简单说下使用IPsec 实现远程桌面连接管理. 服务器端设置: 1.开始--运行--mmc,点击"文件"--"添加删除管理单元"--"添加"--选择"IP 安全策略管理",在弹出对话框中选择"本地计算机"后点击"完成". 同样的方法添加"IP 安全监视器". 2.右键"IP 安全策略,在本地计算机"选择"管理IP 筛选器和筛选器操作". 3.点击"添加",输入一个筛选器名称.(3389permit 用于定义允许远程桌面连接筛选器,后面的 3389deny 用于定义拒绝所有的远程桌面连接筛选器) 4.点击"添加"定义筛选器属性.在"地址"中源地址选择希望以后可以远程管理这台服务器的IP 地址,目标地址选择"我的地址". 5.在"协议"中,类型选择TCP,端口设置"从任意端口"到"3389",因为这里只是测试,没有修改默认的远程桌面连接端口,实际环境中根据情况进行相应的修改. 重复4,5 两步添加其他允许连接的IP 地址或网段. 6.同样的方法,定义一名为 3389deny 的筛选器,用于拒绝所有的3389 端口连接. 7.源地址 选择"任何 IP 地址",目标地址选择"我的 IP 地址".协议设置和 3389permit 相同,选择TCP 任何端口到 3389. 8.点击"确定"完成筛选器定义, 选择"管理筛选器操作"--"添加",添加名为 deny 的筛选器操作.筛选器操作行为选择"阻止". 9.筛选器及筛选器操作定义完成后,右键"IP 安全策略,在本地计算机"选择"创建IP 安全策略".名为 mstsc,并分别添加 3389permit 和 3389deny . 10.身份验证方法页上,因为这次测试环境不是域环境,Kerberos 用不了,证书服务器暂时也没做,所以测试就先用共享密钥了. 11.添加"3389deny". 12.添加完成策略mstsc 属性入下图所示. 13.右键策略"mstsc"选择指派. 客户端配置: 1.客户端创建IP 筛选器表及筛选器操作. 2.创建IP 安全策略. 3 .筛选器操作选择"请求安全". 4 .身份验证方法 同样也选择共享密钥,密钥与服务端设置的字段相同. 5.设置完成并指派.测试一下,此时只有允许的 IP 地址即 218.198.180.4 才可以通过远程桌面连接到服务器了.成功连接后在服务端的 IP 安全监视器里面可以看到相应的连接记录.
