“網路安全無小事，每天學一點，進步多一點”。

最近，因為客戶要過等級保護，在測評的時候，有這麼一條整改內容，覺得蠻實用的，特地過來分享一下。

整改內容原意為：“伺服器區或關鍵資訊區域與內部終端接入區之間，未採取可靠的技術隔離手段，終端接入區可以直接訪問伺服器或者關鍵資訊區的裝置。”

簡單了地來講，就是區域網內的電腦可以隨意遠端，或者訪問伺服器或關鍵資訊區的裝置，大大地增加了來自內部的網路安全隱患。而在實際的部署過程中，這種情況，確實非常常見。

而當時，測評團隊建議在核心交換機做上限制策略，考慮到業務系統的連續性，還是換了一種思路，來解決此問題。

1、利用系統自帶的安全策略，限制IP遠端桌面此電腦，只允許特定的IP遠端桌面管理伺服器，降低來自內部網路風險。

2、利用系統自帶的安全策略，限制IP任何埠訪問此電腦，只允許特定的IP訪問伺服器上的應用，降低來自內部的網路安全隱患，防止伺服器被區域網內部攻擊。

以下為實操部分：（以win7為例，只提供思路，詳細方法可自行搜尋）

一、點選開始選單——執行——gpedit。msc，開啟本地組策略。

二、開啟計算機配置——Windows設定——安全設定——IP安全策略，在本地計算機

IP安全策略，在本地計算機

三、選中IP安全策略，在本地計算機，點選右鍵——建立IP安全策略。

建立IP安全策略

四、建立兩條規則，思路為：先禁止所有的IP能遠端桌面控制該伺服器的規則，而遠端桌面的埠一般預設為3389，再建立一條規則則為允許特定的IP遠端桌面該伺服器。

建立鏈條規則

五、建立好了後，記得分配一下此策略，也就是讓策略生效

六、測試一下，是否特定IP可以遠端桌面伺服器，而非特定的不能遠端桌面伺服器。

當然啦，只允許特定的IP訪問伺服器上的應用，思路同上，只不過埠為所有，而非特定的。

小夥伴們，還有其他簡單實用的方法嗎？歡迎賜教。