windows Server 2003使用ip安全策略禁止ip访问服务器的方法

Windows下搭建Subversion 服务器

一、准备工作

1、获取Subversion 服务器程序

到官方网站（https://www.wendangku.net/doc/052048184.html,/）下载最新的服务器安装程序。目前最新的是1.5版本，具体下载地址在：

https://www.wendangku.net/doc/052048184.html,/servlets/ProjectDocumentList?folderID=8100&expandFolder=8100&f olderID=91

2、获取TortoiseSVN 客户端程序

从官方网站https://www.wendangku.net/doc/052048184.html,/downloads 获取最新的TortoiseSVN 。TortoiseSVN 是一个客户端程序，用来与subvers 服务器端通讯。Subversion 自带一个客户端程序svn.exe ,但TortoiseSVN 更好操作，提高效率。

二、安装服务器端和客户端

安装Subversion（以下简称SVN）的服务器端和客户端。下载下来的服务器端是个zip 压缩包，直接解压缩即可，比如我解压到E:\subversion 。客户端安装文件是个exe 可执行文件，直接运行按提示安装即可，客户端安装完成后提示重启。

三、建立版本库（Repository）

运行Subversion服务器需要首先要建立一个版本库（Repository）。版本库可以看作是服务器上集中存放和管理数据的地方。

开始建立版本库。首先建立e:\svn 空文件夹作为所有版本库的根目录。然后，进入命令行并切换到subversion的bin目录。输入如下命令：

svnadmin create E:\svn\repos1

此命令在E:\svn 下建立一个版本库repos1 。repos1 下面会自动生成一些文件夹和文件。

我们也可以使用TortoiseSVN 图形化的完成这一步：

先建立空目录E:\svn\repos1 ，注意一定是要空的。然后在repos1 文件夹上“右键

->TortoiseSVN->Create Repository here...”，然后可以选择版本库模式，这里使用默认的FSFS 即可，然后就创建了一系列文件夹和文件，同命令行建立的一样。

四、运行独立服务器

此时subversion 服务还没有开始，只是通过它的命令建立了版本库。继续在刚才的命令窗口输入：

svnserve.exe --daemon

svnserve 将会在端口3690 等待请求，--daemon（两个短横线）选项告诉svnserve 以守护进程方式运行，这样在手动终止之前不会退出。注意不要关闭命令行窗口，关闭窗口会把svnserve 停止。

为了验证svnserve正常工作，使用TortoiseSVN -> Repo-browser 来查看版本库。在弹出的URL 对话框中输入：

svn://localhost/svn/repos1

点OK 按钮后就可以看见repos1 版本库的目录树结构了，只不过这时repos1 是个空库。

你也可以使用--root选项设置根位置来限制服务器的访问目录，从而增加安全性和节约输入svnserve URL的时间：

svnserve.exe --daemon --root drive:\path\to\repository

以前面的测试作为例，svnserve 将会运行为：

svnserve.exe --daemon --root e:\svn

然后TortoiseSVN中的版本库浏览器URL缩减为：

svn://localhost/repos1

五、配置用户和权限

用文本编辑器打开E:\svn\repos1\conf目录，修改svnserve.conf：

将：

# password-db = passwd

改为：

password-db = passwd

即去掉前面的# 注释符，注意前面不能有空格。

然后修改同目录的passwd文件，增加一个帐号：

将：

[users]

# harry = harryssecret

# sally = sallyssecret

增加帐号：

[users]

#harry = harryssecret

#sally = sallyssecret

test = test

六、初始化导入

下面就是将我们的数据（项目）导入到这个版本库，以后就由版本库管理我们的数据。我们的任何改动都回被版本库记录下来，甚至我们自己丢失、改错数据时版本库也能帮我们找回数据。

比如，我在d:\wwwroot 下有个guestbook 文件夹，里面存放的是我编写的留言簿程序。在此文件夹上“右键-> TortoiseSVN -> Import...” ，在弹出对话框的“URL of repository”输入“svn://localhost/repos1/guestbook”。在“Import message”输入“导入整个留言簿”作为注释。

点OK 后要求输入帐号。我们在用户名和密码处都输入test 。完成后guestbook 中的内容全部导入到了svn://localhost/svn/repos1/guestbook 。

我们看到在e:\svn\repos1 没有任何变化，连个guestbook 文件夹都没有建立，唯一的变化

就是e:\svn\repos1容量变大了。实际上我们源guestbook中的内容已经导入repos1 版本库了，源guestbook 文件夹可以删除了。

需要注意的是，这一步操作可以完全在另一台安装了TortoiseSVN 的客户机上进行。例如运行svnserve的主机的IP是133.96.121.22，则URL部分输入的内容就是

“svn://133.96.121.22” 。

七、基本操作流程

1、取出（check out）

取出版本库到一个工作拷贝：

来到任意空目录下，比如在f分区建立一个空文件夹f:\work 。“右键-> SVN Checkout”。在“URL of repository”中输入“svn://localhost/svn/repos1/guestbook”，这样我们就得到了一份guestbook 中内容的工作拷贝。

2、存入（check in）/提交（commit）

在工作拷贝中作出修改并提交：

在guestbook 工作拷贝中随便打开一个文件，作出修改，然后“右键-> SVN Commit... ”。这样我们就把修改提交到了版本库，版本库根据情况存储我们提交的数据。

在修改过的文件上“右键-> TortoiseSVN -> Show Log” ，可以看到对这个文件所有的提交。在不同的revision 条目上“右键-> Compare with working copy”，我们可以比较工作拷贝的文件和所选revision 版本的区别。

IP安全策略的设置

IP安全策略的设置IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过： 控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP 隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删 除”。．

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7： 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

IP安全策略的设置

IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

涉密计算机安全策略配置完整版

涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

操作系统的安全策略基本配置原则

操作系统的安全策略基 本配置原则 集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则 通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

windows配置IP访问策略

windows 配置IP访问策略 附件：配置IP安全策略 禁止访问 1、打开组策略编辑器，在运行中输入gpedit.msc ； 2、1、打开：计算机配置>Winodws设置>安全设置>IP 安全策略，在本地计算机 3、在“IP 安全策略，在本地计算机”单击右键，选择“创建IP安全策略” 4、输入策略名称“禁止访问1521”，然后选择下一步>选择“激活默认响应规则“， 然后选择下一步>选择”选择Active Directory 默认值（Kerberos V5协议）“，然后选择下一步>弹出警告框，选择是>选择编辑属性，点击完成。 5、选择添加 6、选择下一步 7、选择“此规则不指定隧道” 8、选择“所有网络连接”点击下一步 9、选择“添加” 10、输入“名称”然后点击添加 11、然后连续点击两次下一步，直到下弹出下面窗口，源地址选择“任何IP地址“，点击下一步。 12、目标地址选择“我的IP地址“，点击下一步 13、IP协议类型选择“TCP“，点击下一步 14、IP协议端口，选择“从任意端口“到”1521端口“，点击下一步然后点完成。15，打开规则属性页面，选择“筛选器操作“页面 16、输入名称 17，选择“阻止“，点击下一步，然后点完成。 18、选择新建的筛选器，然后点击应用。 19、在新建策略上单击右键，选择“指派“ 20、在运行中输入“gpupdate“回车，更新本地安全策略。

只允许特定主机访问445端口 要设置只允许某个特定主机或网段访问445端口（同样可应用于其它端口号）其步骤如下： 一、首先建立一条组策略（组策略中包含“策略拒绝所有主机访问445端口”策略和“允许特定 主机访问445端口”二条子策略）。 二、建立子策略一“策略拒绝所有主机访问445端口” 三、建立子策略二“允许某个特定主机或网段访问445端口” 四、添加子策略到组策略中，并指派策略生效并（使用gpupdate命令）更新组策略。 步骤与截图如下： 一、建立组策略 1.开始菜单->运行->gpedit.msc进入如下图所示位置，并随机附图所示依次点击“下一步” 出现警告点击“是” 点击完成 二、建立子策略“策略拒绝所有主机访问445端口” 建立一条策略拒绝所有主机的445端口访问，依下图所示步骤操作。 去掉“使用添加向导”的勾选，并点击添加： 再次点击“添加” 输入策略名称“拒绝所有445端口访问”，并点击“添加”，进入IP筛选器向导 源地址指定为“任何IP地址” 目标地址指定为“我的IP地址” 协议类型选择为“TCP” 端口设置如下，到此端口输入445： 点击下一步完成。 进入到“筛选器操作”选项卡，为本条策略设置“允许/阻止”该流量。 由于阻止操作并未出现在默认选项中，需人工添加。 同样去掉“使用添加向导”并点击添加。出现对话框，选择“阻止” 在“常规”选项卡中输入操作名称，点击确定完成。 选择刚刚新建的“阻止”操作，点击应用，到此阻止所有主机访问本机的445端口策略设置完毕。 三、建立子策略“允许访问本机的445端口” 再次点击“添加” 假设远程主机IP为，输入策略名称“允许访问445端口” 完成后，去掉“使用添加向导”并点击“添加”，源地址设置为你需要允许访问的IP地址。目标地址选择“我的IP地址”，地址选项卡设置完成。 进入“协议”选项卡，作如下设置，并点击“确定”完成添加操作。 再次点击确认完成操作 到此我们可以看到有二条IP筛选策略已经添加完成。 四、添加子策略到组策略

IP安全策略的设置

脚本语言的我还是建议不要使用IIS，因为IIS对非官方的东西的支持始终都不够好。下面是看图识字而已，跟着我来一切将变得很简单。 Here we go. IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后

涉密计算机安全策略配置

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、moden等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS 开机密码，该密码由用户掌握； 3、B IOS最优先启动设置为硬盘启动，其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost 版操作系 统； 2、更改Admi ni st rat or 用户名并设置密码，禁用Guest 帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） &清理一切私人信息：私人照片、mp3电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1 、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件）；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

IP安全策略禁用网络端口

IP安全策略禁用网络端口 当木马悄悄打开某扇“方便之门”（端口）时，不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心，首先我们要切断它们与外界的联系（就是堵住可疑端口）。 在Win 2000/XP/2003系统中，Microsoft管理控制台（MMC）已将系统的配置功能汇集成配置模块，大大方便我们进行特殊的设置（以Telnet利用的23端口为例，操作系统为Win XP）。 操作步骤： 首先单击“运行”在框中输入“mmc”后回车，会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”，最后按提示完成操作。这时，我们已把“IP安全策略，在本地计算机”（以下简称“IP安全策略”）添加到“控制台根节点”下。 现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”（注意：在点击“下一步的同时，需要确认此时“编辑属性”被选中），然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。 在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”，选中它，切换到“筛选器操作”标签栏，依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。 新策略需要被激活才能起作用，具体方法是：在“新IP安全策略”上点右键，“指派”刚才制定的策略。 效果 现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败；用扫描工具扫描这台机子，会发现23端口仍然在提供服务。以同样的方法，大家可以把其它任何可疑的端口都封杀掉，不过有一些常用端口不能禁，比如80是web服务端口，21是FTP服务端口，25/110是收发邮件的pop和smtp默认端口，常用的端口要记住，就不会出现无法访问的情况。

服务器的IP安全策略和关闭端口设置

操作要领：封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速 度的影响。 近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。安装了防火墙软件的用户，请封闭TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些 端口的传入连接。 操作步骤： 打开“控制面板”（打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到） 在“控制面板”中找到“管理工具”。 双击打开“管理工具”，找到“本地安全策略”。 双击打开“本地安全策略”，找到“IP 安全策略”如下图 用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建IP 安全策略” 如下图 在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。 到达“安全通信请求”处，默认选中了“激活默认相应规则”，请用鼠标点击一下这个选项框，将选中状 态改成未选中状态，如下图，再点击“下一步”。

点击“完成”按钮，“编辑属性”，如下图。 在“属性”对话框中，看看“使用添加向导”有没有选中，如果选中了，请用鼠标点击一下，使之变成未被选中的状态，然后点击“添加”按钮。如下图。

在“新规则属性”对话框中，点击“添加”按钮，如下图。 在IP 策略列表中，首先解除“使用添加向导”的选中状态，然后点击“ 添加”按钮。如下图。

最新最全USG6000安全策略配置(DOC41页)

配置反病毒 在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。网络环境如图 1所示。 其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。 图1 配置反病毒组网图 配置思路 1.配置接口IP地址和安全区域，完成网络基本参数配置。 2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响 应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。 3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实 现组网需求。

操作步骤 1.配置接口IP地址和安全区域，完成网络基本参数配置。 a.选择“网络> 接口”。 b.单击GE1/0/1，按如下参数配置。 c.单击“确定”。 d.参考上述步骤按如下参数配置GE1/0/2接口。 e.参考上述步骤按如下参数配置GE1/0/3接口。 2.配置反病毒配置文件。 a.选择“对象> 安全配置文件> 反病毒”。 b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

WIN7“IP安全策略”仅允许指定IP远程访问控制

1、新建IP安全策略 WIN+R打开运行对话框，输入gpedit.msc进入组策略编辑器。 依次打开“本地计算机”策略->计算机配置->Windows设置->安全设置->IP安全策略, 在本地计算机上。 右键单击“IP安全策略，在本地计算机”，在右面的空白处右击，选择第一个菜单：创建IP安全策略。 在弹出的IP安全策略向导对话框，点击下一步，在名称里输入3389过滤，下一步。

取消激活默认响应规则，下一步。 选中编辑属性，完成。 2、新建IP筛选器 在弹出的新IP安全策略属性对话框里取消使用“添加向导”，点击添加。

在弹出的新规则属性对话框里点击添加，起个名称：放行指定IP的3389连接，取消使用“添加向导”选项,点击添加。 在弹出的对话框里选择地址选项卡，源地址选择“一个特定的IP地址或子网”，并填写需要分配访问权限的指定IP地址，目标地址选择“我的IP地址”，取消镜像功能。

再选择协议选项卡，协议类型选择TCP，设置IP协议端口为从任何端口到此端口3389。 单击确定关闭IP筛选器属性，再确定关闭IP筛选器列表。 在新规则属性对话框里再点击添加，依照上面的步骤再添加一个IP筛选器，名称为：阻止3389连接；源地址为任意IP，目标地址为我的IP。

协议类型选择TCP，设置IP协议端口为从任何端口到此端口3389。 3、给新建的IP筛选器设置筛选器操作 在新规则属性对话框上选择筛选器操作选项卡，点击添加，选择阻止，在常规选项卡里的名称改为：阻止。 点击确定。

再点击添加，选择许可，在常规选项卡里的名称改为：许可。点击确定。

配置本地安全策略

配置本地安全策略———端口的保护 IP安全策略设置方法 一、适用范围： 它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可

利用IP安全策略阻止访问特定的IP

利用IP安全策略阻止访问特定的IP ?开始->运行，输入gpedit.msc，打开组策略窗口 ?在左边的树开列表里依次选择 "本地计算机"策略->计算机配置->Windows 设置->安全设置->IP安全策略，在本地计算机 ?在右边的窗口右击（或也可以右击"IP安全策略，在本地计算机"），选择创建IP安全策略，在打开的对话框中点击下一步。 ?输入IP 安全策略名称（可随意），点一步。 ?安全通迅请求，直接点下一步。 ?默认响应规则身份验证方式，直接点下一点（会弹出警告确认，直接点“是”）?点击完成，出现如下的 "新IP策略属性"窗口，单击“添加”，在弹出的对话框中点击下一步。

?提示指定IP规则的隧道终结点，按默认选择（即“此规则不指定隧道”），点下一步 ?提示选择网络类型，按默认选择（即“所有网络连接”），点下一步 ?再次提示选择“身份验证方法”，按默认选择，点下一步（会弹出警告确认，直接点“是“） ?提示选择IP筛选器 ?单击上图中的添加，弹出“IP 筛选器列表”。 ?单击上图中的添加，弹出IP筛选器向导。 ?继续下一步，选择IP通信源，这里选择我的IP地址（因为是要禁止本机上运行的木马对外通信）。 ?继续下一步，选择IP通信目标，这里选择"一个特定的IP地址"（因为是要禁止本机上与某个远程的IP通信）。 ?继续下一步，选择IP协议类型，这里可以根据情况选择。 ?点下一步，完成。回到选择IP筛选器，这里可以在列表中看到刚刚添加的内容(下图中蓝色选择的内容)。

?点上图的确定，回到安全规则向导窗口，选择刚刚建立的规则，点下一步。?继续下一步，选择筛选器操作。 ?点击上图中的添加，在“添加向导”中建立一个“筛选器操作”，注意“筛选操作常规选项”选择“阻止”。 ?“筛选器操作”向导完成回到19步中的窗口，选择上一步建立的“筛选器操作”，点下一步。 ?关掉所有窗口，回到组策略窗口(注意所有窗口都选择“确定”)

涉密计算机安全策略配置2017

涉密计算机安全策略配置2017

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 2、关闭操作系统的默认共享，同时禁止设置其它共享； 3、设置屏保时间10分钟，屏保恢复需用密码； 4、不得安装《软件白名单》外的软件； 5、对操作系统与数据库进行补丁升级（每季度一次〉； 6、定期输出安全审计记录报告（每月一次） 7、清理一切私人信息：私人照片、mp3、电影等等。 8、根据规定设置系统策略，关闭非必要服务；(见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（江民杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描；

2、安装主机监控审计软件与存储介质管理系统(三合一)； 3、涉密机安装刻录审计软件，涉密中间机安装打印审计软件和刻录审计软件； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。

IP安全策略禁ping设置教程

IP安全策略禁ping设置教程 IP安全策略禁ping设置详解: 【操作步骤】 第1步:添加IP安全策略。我们首先要做的就是，在控制台中添加IP安全策略单元，添加步骤如下: (1)依次点击【开始】?【运行】，然后在【运行】窗口中输入“mmc”并回车，此时将会打开【控制台1】窗口，如图1-1所示。 2)在图1-1所示窗口依次点击【文件】?【添加/删除管理单元】?【添加】，此时将会打开【添加/删除管理单元】窗口，我们在此窗口下的列表中双击“IP安全策略管理”，如图1-2所示。

(3)这时将会弹出【选择计算机域】窗口，在此我们选中【本地计算机】，然后点击【完成】按钮，最后依次点击【关闭】?【确定】，返回【控制台1】主界面，此时我们将会发现在【控制台根节点】下多了【IP安全策略，在本地计算机】(如图1-3所示)项，此时可以说明控制台中已经添加了IP安全策略项。 第2步:创建IP安全策略。在我们添加了IP安全策略后，还要创建一个新的IP安全策略，步骤如下:

(1)在图1-3中右键点击【IP安全策略，在本地机器】选项，执行【创建IP安全策略】命令，此时将会打开【IP安全策略向导】窗口。 (2)单击【下一步】按钮，此时将会出现要求指定IP安全策略名称及描述向导页面，我们可以在【描述】下输入一个策略描述，比如【禁止Ping】，如图1-4所示。 (3)点击【下一步】，然后在出现的页面中确保选中了【激活默认相应规则】项，然后单击【下一步】。 (4)在出现的【默认响应规则身份验证方法】对话框中选中【此字符串用来保护密钥交换(预共享密钥)】选项，然后在下面的文字框中任意键入一段字符串(如“禁止Ping”)，如图1-5所示。

涉密计算机安全策略配置

涉密计算机安全策略配置 The final edition was revised on December 14th, 2020.

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

使用IP安全策略关闭端口

使用IP安全策略关闭端口 操作要领：封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速度的影响。 近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。安装了防火墙软件的用户，请封闭 TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如 TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些端口的传入连接。 操作步骤： 打开“控制面板”（打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到） 在“控制面板”中找到“管理工具”。 双击打开“管理工具”，找到“本地安全策略”。 双击打开“本地安全策略”，找到“IP 安全策略”，如图一。 图一：找到“本地安全策略”的“IP 安全策略” 用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建 IP 安全策略”

图二：创建新的策略 在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。 到达“安全通信请求”处，默认选中了“激活默认相应规则”，请用鼠标点击一下这个选项框，将选中状态改成未选中状态，如图三，再点击“下一步”。 图三：不要激活默认选中状态 点击“完成”按钮，“编辑属性”，如图四。

图四：完成新策略添加 在“属性”对话框中，看看“使用添加向导”有没有选中，如果选中了，请用鼠标点击一下，使之变成未被选中的状态，然后点击“添加”按钮。如图五。 图五：点击“添加”按钮，添加新的连接规则