概述
为了提高服务器的安全性,建议只允许指定的IP地址可以远程连接服务器。设置的方法很多,本文介绍如何使用IPSec的方式实现该需求。
注:
- 本文以Windows Server2008系统为例,其他版本的操作系统类似。
- 使用IPSec的方法兼容Windows Server2003版本,对于Windows Server2008之后的版本,推荐使用Windows高级防火墙,仅允许指定网段或者IP远程登录。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
使用IPSec的方式需要添加如下两个本地安全规则。操作步骤如下。
禁止所有的IP地址连接服务器的RDP端口
- 远程连接登录服务器。
- 单击 开始,选择 运行。
- 输入
gpedit.msc,单击 确定,打开本地组策略编辑器。 - 在左侧依次找到 计算机配置 > Windows设置 > 安全设置 > IP安全策略。
- 在右侧空白处单击右键,选择 创建IP安全策略。
- 在弹出的向导中,单击 下一步。
- 自定义安全策略名称,比如“远程连接限制”,单击 下一步。
- 不需要勾选 激活默认响应规则(仅限于Windows的早期版本),单击 下一步。
- 默认勾选 编辑属性,单击 完成。
- 在弹出的属性窗口中,取消勾选 使用“添加向导”。单击 添加 按钮。
- 在弹出的新规则属性窗口,再次单击 添加 按钮。
- 此处可自定义筛选器名称。取消勾选 使用“添加向导”,单击 添加。
- 源地址 选择 任何IP地址,目标地址 选择 我的IP地址。取消勾选 镜像,然后单击 协议 标签页。
- 协议选择 TCP,端口选择 从任意端口 > 到此端口 的3389端口,单击 确定。
注:此处以RDP默认的3389端口为例。如果您修改了RDP的默认端口,则此处为修改后的端口号。
- 在筛选器列表窗口,再次单击 确定。
- 在新规则属性窗口,单击 筛选器操作 标签页,取消勾选 使用“添加向导”,选择 添加。
- 安全方法 选择 阻止。
- 返回筛选器操作窗口,勾选新建的筛选器操作,单击 应用。切换到IP筛选器列表标签页,勾选新建的筛选器列表,单击 确定。
- 至此,禁止所有IP远程连接本服务器3389端口的安全策略添加完成。请参考下面的内容,继续添加允许指定IP的安全策略。
允许指定的IP地址连接服务器的RDP端口
参考上述步骤,添加仅允许指定IP地址连接本服务器的3389端口。
- 在安全策略属性窗口,取消勾选 使用“添加向导”,单击 添加。
- 在IP筛选器列表窗口,单击 添加。
- 此处可自定义筛选器名称。取消勾选 使用“添加向导”,单击 添加。
- 源地址 选择 一个特定的IP地址或子网,然后填写您远程连接时的公网IP地址或者地址段,例如“1.1.1.1”。目标地址 选择 我的IP地址。取消勾选 镜像,然后单击 协议 标签页。
注:此处确保填写正确的公网IP地址。如果填写错误可能导致自己无法远程连接服务器。
- 协议选择 TCP,端口选择 从任意端口 > 到此端口 的3389端口,单击 确定。
注:此处以RDP默认的3389端口为例。如果您修改了RDP的默认端口,则此处为修改后的端口号。
- 在筛选器列表窗口,再次单击 确定。
- 在新规则属性窗口,单击 筛选器操作 标签页,取消勾选 使用“添加向导”,选择 添加。
- 安全方法 选择 许可。
- 返回筛选器操作窗口,勾选新建的筛选器操作,单击 应用。切换到IP筛选器列表标签页,勾选新建的筛选器列表,单击 确定。
- 在安全策略属性窗口,单击 确定。
- 在本地组策略编辑器窗口,右键单击新创建的安全策略,选择 分配。
- 确认安全策略的 策略已指派 状态为 是。
相关文档
如果配置错误可能会导致无法远程连接,此时可以参考如下文档,通过管理终端登录服务器进行调试。
适用于
- 云服务器 ECS
文档内容是否对您有帮助?