編者按：筆者單位需要計算機只能訪問監(jiān)控平臺的IP 地址，不可以訪問其它任何地址，并且不能影響殺毒軟件病毒庫升級。筆者根據(jù)單位實際情況，綜合考慮后決定使用本機IP 安全策略與交換機端口作ACL 訪問控制相結合的方法。

IP 安全策略是系統(tǒng)自帶的一個組策略功能，利用它可以滿足我們很多網(wǎng)絡連接方面的需求，特別是服務器端口開放，IP訪問等，總之功能很強大，用途很廣泛。如何實現(xiàn)只允許訪問特定網(wǎng)址，除此之外其它網(wǎng)址都不能訪問。

下面是操作步驟：

1.在開始“運行里”輸入：secpol.msc，點擊“確定”。在彈出的“本地安全設置”的窗口，選中左邊框里的“IP安全策略 在本地計算機”。

2.在“IP 安全策略”上鼠標右鍵，在右鍵菜單里選擇“管理IP 篩選器列表和篩選器操作”。

3.在彈出的對話框中選擇“管理IP 篩選器列表”標簽，單擊下面的“添加”按鈕，在彈出的“IP 篩選器列表”對話框中去掉右側“使用添加向導”的勾選，在名稱框里輸入“屏蔽的網(wǎng)址”，單擊右邊的“添加”按鈕。

4.在彈出的“IP 篩選器屬性” 對話框的“源地址”下拉框中選擇“我的IP 地址”，“目標地址”下拉框中選擇“任何IP 地址”，之后選中“鏡像”復選框；然后單擊上面的“協(xié)議”標簽，在“選擇協(xié)議類型”的下拉框選中“TCP”，點選最下面的“到此端口”并在下面填入80，然后單擊“確定”按鈕。

5.在返回的“IP 篩選器列表”對話框中可以看到剛添加的IP 篩選器，也就是針對任何IP 地址80 端口的規(guī)則，之后單擊“確定”按鈕。

6.在“管理IP 篩選器列表和篩選器操作” 對話框中繼續(xù)添加IP篩選器，單擊下 邊的“添加”按鈕，在彈出的對話框中的名稱文本框中填入“允許訪問的網(wǎng)址”，去掉右側“使用添加向導”的勾選之后單擊右邊的“添加”按鈕。

7.在彈出的“IP 篩 選器屬性”對話框的“源地址”下拉框中選擇“我的IP 地址”，“目標地址”下拉框中選擇“一個特定的IP 地址或子網(wǎng)”，之后在下面的文本中填入允許訪問的IP 地址，在這里填入領導要求訪問的監(jiān)控平臺的IP，之后選中“鏡像”復選框。這里可以舉一反三，如果目標地址是域名，則需要在“目標地址”下拉框里選中“一個特定的DNS 名稱”，在主機名文本框中填入想要訪問的域名地址，單擊上面的“協(xié)議”標簽。在“選擇協(xié)議類型”的下拉框選中“任何”之后單擊“確定”按鈕。

8.在返回的“IP 篩選器列表” 對話框中可以看到新添加的這條規(guī)則，也就是針對特定IP 地址的規(guī)則，這里的記錄多少是不定的，可以根據(jù)實際需要添加。

9.領導要求除了訪問監(jiān)控平臺的地址外，殺毒軟件病毒庫能正常升級，我們可以先運行病毒庫升級程序，之后在“運行”中輸入 “cmd”之后使用netstat –ano 命令查看本機病毒庫升級程序訪問的外部地址及端口，作為“IP 篩選器”將這些地址按前面的步驟加入到“允許訪問的網(wǎng)址”IP 安全規(guī)則中。

10.在返回到“本地安全策略”的主窗口，在“IP 安全策略 在本地計算機”鼠標右鍵選擇“創(chuàng)建IP 安全策略”，在彈出的“IP 安全策略向導”對話框，直接點“下一步”，在名稱文本框中填入“策略1”，在下面的描述框輸入對這個策略用途的描述，方便以后管理。單擊“下一步”，去掉“激活默認響應規(guī)則”前面的勾選。單擊“下一步”按鈕后單擊“完成”按鈕。

11.在彈出的“策略1屬性” 對話框，去掉右下角“使用添加向導”的勾選，然后點“添加”按鈕。在彈出的“新規(guī)則屬性”對話框下面的“IP 篩選器列表”里選中前面建好的“屏蔽的網(wǎng)址”篩選器，然后單擊上面的“篩選器操作”標簽，在“篩選器操作”下面點選“阻止”單選框，然后單擊“確定”按鈕。

12.這時候在返回到的“策略1 屬性” 對話框下的“IP 安全規(guī)則”里有了一個名為“屏蔽的網(wǎng)址”的規(guī)則，篩選器的操作是“阻止”，這時候我們要繼續(xù)點擊“添加”按鈕，把前面做的允許訪問的規(guī)則也添加進去。

13.在“新規(guī)則屬性”對話框下的“IP 篩選器列表”里點選前面建好的“允許訪問的網(wǎng)址”策略，然后點擊“篩選器操作”標簽，在“篩選器操作”里點選“許可”單選框，然后點“確定”按鈕。

14.這 時候 在“策 略1屬性”對話框下面的“IP 安全規(guī)則”里出現(xiàn)了新添加的兩個規(guī)則，一個是“屏蔽的網(wǎng)址”，操作是阻止，一個是“允許訪問的網(wǎng)址”，操作是允許。這樣我們就利用了規(guī)則的允許優(yōu)先的原則達到了我們的目的，先屏蔽掉所有的網(wǎng)址，然后放開允許的網(wǎng)址，至此整個設置工作完成，不過規(guī)則還沒生效，我們點擊“關閉”按鈕返回到 “本地安全設置”窗口。

15.在此窗口右側，找到剛才新建的“策略1”，在上面鼠標右鍵選擇“指派”。至此所有的操作完成，可以去打開網(wǎng)頁進行測試，效果非常好。如果想停止策略，可以在已指派的策略上鼠標右鍵取消指派。需要說明一下，一次只能指派一個策略，多個策略不能同時工作，但是我們可以在一個策略里建立多個安全規(guī)則來實現(xiàn)不同的功能需求。最后要注意一點，設置完成后IPSEC 服務必須為“啟動”狀態(tài)并且啟動類型必須設置為“自動”。

設置完成后，可以將這個策略導出留作備份，后期重裝系統(tǒng)后可以將文件再導入到策略中。接下來繼續(xù)作一下交換機的ACL 訪問控制列表配置，用packet filter 策略來實現(xiàn)，使用這個方法結合上面IP 安全策略的配置可以非常有效的實現(xiàn)領導的要求，做到雙重保險。例如，這臺監(jiān)控用計算機與交換機1 口連接，使其只能訪問192.168.1.1 這個IP，以H3C交換配置命令舉例如下：

acl number 3000

rulepermitip destination 192.168.1.1 0.0.0.0

rule deny ip

interface gigabite thernet 1/0/1

packet filter 3000