服务器如何利用本地安全策略来限制访问IP的流量

1点击 “开始菜单/设置/控制面板/管理工具”,双击打开”本地策月”,选中”ip安全策月,在本地计算机”右边的空白位置右击鼠标,谈出快捷菜单,选择”创建ip安全策月”,弹出向导在向导中点击下一步 下一步,当显示”安全通信请求”画面时,把”激活默认相应规则”左边的钩去掉,点”完成”就创建了一个新的ip安全策月

2右击该ip安全策月,在”属性”对话框中，把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的规则,随后弹出”新规则属性”对话框,在画面上点击”添加”按纽,弹出ip筛选器列表窗口在列表中,首先把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的筛选器

3进入”筛选器属性’对话框,首先看到的是寻地址,源地址选”一个特定的IP地址”,目标地址选”我的ip地址”,在特定的IP地址那填上你要阻止的IP地址，点击确定

4在”新规则属性”对话框中,选择”新ip筛选器列表’然后点击其左边的复选框,表示已经激活最后点击”筛选器操作”选项卡中,把”使用添加向导”左边的钩去掉,点击”添加”按钮,进行”阻止”操作,在”新筛选器操作属性”的”安全措施”选项卡中,选择”阻止”,然后点击”确定”

5进入”新规则属性”对话框,点击”新筛选器操作”,选取左边的复选框,表示已经激活,点击”关闭”按钮,关闭对话框最后”新ip安全策略属性”对话框,在”新的ip筛选器列表”左边打钩,按确定关闭对话框在”本地安全策略”窗口,用鼠标右击新添加的ip安全策略,然后选择”指派”

修改/etc/logindefs文件，控制密码的有效期

chage -l 用户名

控制密码复杂度，需已安装pam_cracklib，centos已默认安装

修改/etc/etc/pamd/system-auth文件，添加如下语句，需放置在最前面，否则可能不生效

参数说明

Linux登录失败

1 修改/etc/hostsallow文件，增加允许通过SSH连接的客户端IP

2 修改/etc/hostsdeny文件，增加禁止通过SSH连接的客户端IP

3 重启sshd服务和xinetd(可选)服务，使之生效

如果hostsallow和hostsdeny文件均包含同一ip，则以hostsall文件为准，如果只是单独配置了hostsall文件，并没有在hostsdeny文件禁止，依然不生效

本书用20章和8个附录的内容，全面解析Linux服务器安全策略分四部分内容：第一部分分级介绍对Linux服务器的攻击情况，以及Linux网络基础；第二部分是本书的核心，针对不同的Linux服务器分别介绍各自的安全策略；第三部分介绍Linux服务器的安全工具；第四部分是8个附录，介绍Linux帮助信息和Linux常用命令汇总。

本书适合作为大专院校计算机专业师生的教材或教参书，也适合于Linux网络管理员和系统管理员，以及对安全方面感兴趣的读者。

一、方法步骤如下：

1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。

2、在打开的组策略管理，一次展开“林”-“域”-“saymscom（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。

3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。

注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

二、本地组策略

本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’，在弹出本地组策略编辑器中即可进行设置。

三、域组策略

域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 运行 然后键入gpmcmsc来运行。

密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpeditmsc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，可以使用以下方法：

1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’，回车后打开“组策略管理”控制台。

2、展开到 “域-Domaincom-组策略对象（Domaincom是指您的域名）”。

3、右键点击Default Domain Policy然后选择“编辑”。

4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。

5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

03系统例举

01首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”

02使用鼠标右键单击左方的“ip

安全策略，在

本地计算机”选项，并选择“创建

ip

安全策略”选项

03点击“下一步”按钮

04设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以

05点击“下一步”按钮

06去掉“激活默认响应规则”选项的勾

07点击“下一步”按钮

08点击“完成”按钮

09去掉右导”选项的勾

10现在先开始添止所有机器访问服务器，点击“添加”按钮

11点击“添加”按钮

12设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以

13点击“添加”按钮

14如果该服务器不打算上网，则可以将“源地址”设置为“任何

ip

地址”。如果需要上网，建议设置为“一个特定的

ip

子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192168110，则可以设置为19216810，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在1921681的范围，则直接设置为2552552550即可

15将“目标地址”设置为“我的

ip

地址”

16点击“确定”按钮

17点击“确定”按钮

18选择刚创建的ip筛选器（即12步中设置的名称）

19切换到“筛选器操作”选项页

20去掉“使用添加向导”选项的勾

21点击“添加”按钮

22选择“阻止”选项

23切换到“常规”选项页

24设置筛选器操作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以

25点击“确定”按钮

26选择刚创建的筛选器操作（即24步设置的名称）

27点击“应用”按钮

28点击“确定”按钮

29现在开始添加允许访问该服务器的机器，点击“添加”按钮

30点击“添加”按钮

31设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以

32点击“添加”按钮

33将“源地址”设置为“一个特定的

ip

地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）

34设置“目标地址”为“我的

ip

地址”

35点击“确定”按钮

36重复32至35步将要允许访问该服务器的ip全部添加

37点击“确定”按钮

38选择刚创建的“ip

筛选器”（即31步设置的名称）

39切换到“筛选器操作”选项页

40选择“许可”选项

41点击“应用”按钮

42点击“确定”按钮

43点击“确定”按钮

44使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可

45以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置

注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp

-s命令来绑定），并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。