Windows IP策 略，是Windows自帶的一種安全I(xiàn)P策略方法。通過相應(yīng)的策略設(shè)置，可以實(shí)現(xiàn)阻止和允許訪問相關(guān)的端口和IP地址，相當(dāng)于擁有了一個免費(fèi)但功能更加完善的防火墻。

第一步，進(jìn)入Windows IP安全策略界面，點(diǎn)擊開始－控制面板－管理工具－本地安全策略，或者開始－運(yùn)行－輸入secpol.msc。

第二步，創(chuàng)建一個IP安全策略名。選中左側(cè)導(dǎo)航樹中“IP 安全策略，在本地計(jì)算機(jī)，右鍵選擇“創(chuàng)建 IP 安全策略”，或者在命令行窗口下輸入netsh ipsec static add policy name=myname，其中myname指IP策略名。

第三步，創(chuàng)建IP篩選器列表和篩選器操作。選中左側(cè)導(dǎo)航樹中“IP 安全策略，在本地計(jì)算機(jī)”，右鍵選擇“管理IP篩選器列表和篩選器操作”，創(chuàng)建一個名為denyAll的IP篩選器列表，在IP篩選器屬性中，目標(biāo)地址應(yīng)選擇“我的IP地址”，“鏡像”左邊的鉤去掉，其他默認(rèn)；創(chuàng)建一個名為deny的篩選器操作，新篩選器操作屬性中，選擇“阻止”。

第四步，添加規(guī)則。雙擊IP安全策略名，單擊“添加”，在“新規(guī)則屬性”對話框中，”IP篩選器列表”標(biāo)簽中選擇剛建立的 denyAll，“篩選器操作”標(biāo)簽中選擇剛建立的deny，這樣就創(chuàng)建了一個阻止所有端口、所有IP地址的安全策略。

第五步，創(chuàng)建允許訪問的IP篩選器列表和篩選器操作。根據(jù)第三步方法，創(chuàng)建一個名為permit的IP篩選器列表，并添加相應(yīng)允許訪問的IP地址，新篩選器操作屬性中，選擇“許可”。同理，根據(jù)第四步方法添加相應(yīng)規(guī)則，這樣就創(chuàng)建了一個允許用戶訪問的安全策略。

第六步，指派安全策略。Windows IP策略默認(rèn)是不指派的，選中IP策略名稱，右鍵選擇“分配”，此時，該策略名稱上多了一個小綠點(diǎn)，表示策略啟用成功。

在第五步添加相應(yīng)允許訪問的IP地址時，根據(jù)實(shí)際情況，”源地址”可以選擇一個特定的IP地址，也可以選擇一個特定的IP子網(wǎng)，還可以選擇一個特定的DNS名稱。另外，在“協(xié)議”標(biāo)簽中還可以設(shè)置具體允許訪問的協(xié)議和端口，如選擇協(xié)議類型為TCP，設(shè)置IP協(xié)議端口從任意端口到此端口，填寫3389，則對應(yīng)IP地址僅能訪問該服務(wù)器遠(yuǎn)程端口。

Windows IP策略應(yīng)用場景非常廣泛，如對于某些重要的Web服務(wù)器，我們只希望某些特定用戶允許訪問，只需將其固定IP地址加入其服務(wù)器IP策略即可；對于某些重要的數(shù)據(jù)庫服務(wù)器，屏蔽其他IP地址及數(shù)據(jù)庫端口（管理員除外），這樣用戶即使擁有數(shù)據(jù)庫密碼也無法訪問數(shù)據(jù)庫；通過以上方法設(shè)置Windows IP安全策略，服務(wù)器就多了一道屏障，數(shù)據(jù)就多了一份安全。