IP安全策略实现端口隔离

一、  简介

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。

图示：

二、  操作思路

IP安全策略 =IP安全规则1 +IP安全规则2 + ……

IP安全规则 = IP筛选器（绑定一个筛选器操作）。

1、 创建筛选器1——筛选出所有IP及端口；

2、 创建筛选器操作1——阻止连接；

3、 创建筛选器2——筛选出指定IP及端口；

4、 创建筛选器操作2——允许连接；

5、 创建IP安全策略——添加两个安全规则（阻止所有IP + 允许指定IP）。

三、  操作详解

1. 打开本地安全策略

1） 命令式：运行secpol.msc

2） 控制面板——管理工具——本地安全策略

2. 创建IP筛选器

1）创建筛选器1（所有IP）用以筛选出所有IP及所有协议和所有端口。

2）创建筛选器2（指定IP）用以筛选出指定的IP以及指定的协议和端口。

 

 

完成添加：

 

3. 创建筛选器操作

1）添加阻止操作

2）添加允许操作（过程同上）

 

 

完成筛选器操作的添加后，关闭对话框。

 

 

4. 创建IP安全策略（组合IP筛选器和筛选器操作）

1）创建空的策略

 

2）加入IP筛选器并为其制定相应的操作。

 

3）加入写一个筛选器及其对应的操作。

 

 

 

完成安全策略的添加（组装）

 

5. 使用该安全策略

6. 附加

在创建筛选器过程中，如果源地址选择“一个特定的IP地址或子网”，会涉及到IP或网段的输入问题：

“IP地址/ 数字”是什么意思？

答：数字是子网掩码位（数），例如 192.168.5.12 / 21 ，说明子网掩码由21个1组成，即子网掩码是：

1111111111111111 11111000 00000000  ，也就是255.255.248.0.

 

另外：可以使用netsh命令进行IP安全策略创建与修改，参考：http://www.splaybow.com/post/netsh-ipsec-1.html