利用IP安全策略阻止访问特定的IP网段共享文件夹

上一篇 / 下一篇  2012-02-03 14:22:13 / 个人分类:虚拟化

查看( 3578 ) / 评论( 0 ) / 评分( 0 / 0 )
51Testing软件测试网+l&@ kI`#qr!]

因为公司所有用户的USB端口全部封闭了,所以公司全部的数码相机导入照片全部是由信息课的同事帮助导入公司内网的,造成了人员精力的浪费,所以我们决定设置一台公用电脑(由公用扫描/打印服务器来担任)由用户来导入照片,能为信息课省掉不少事。但是这样做可能会导致从这台打印服务器的USB口造成数据泄露,为了防止这个问题我们决定设置安全策略只允许打印服务器访问文件服务器上的共享,为了不影响用户共享,需要“允许”客户机访问打印服务器的共享文件夹。同时打印服务器开启共享文件夹,域用户可以对这个共享文件夹只读。为了实现这个功能我们决定采用WINDOWS自带的“本地安全策略”来实现。过程如下:51Testing软件测试网m UAXu+~+\

#^#o$w;p.k*R+G0以上的介绍仅仅起个抛砖引玉的作用,您也可以根据这个方问设置不允许用户访问WEB等功能。

puv$O8l lfWx051Testing软件测试网H v,fV8evk|

打印服务器---->只能访问“文件服务器”上的共享,不许访问客户机共享。

h8XU'dZ.wU051Testing软件测试网7S"` Z(s(Q ~:|F D2D"g6o

客户机------>可以访问打印服务器的共享。

;[/hO(V${3u1R8n5D t051Testing软件测试网5l"]Opq

一、打开“控制面板”----“本地安全策略”-----IP安全策略

1]b d)G$`4}(_J051Testing软件测试网$QdUJ,`N

clip_image002[1]

6B-Wy:j(qc0

'^kx5r|-S/O$x\]0《图一》51Testing软件测试网6g2}`jG

51Testing软件测试网(UEf&pe

二、在“IP安全策略,在本地计算机”上点右键,选择“管理IP筛选器表和筛选器操作(M)…”打开管理器操作对话框51Testing软件测试网hd)?},}K]"tT9G}*N-eX

51Testing软件测试网 \x1Vz8QInz

clip_image004[1]

-cV8\fIqG.E051Testing软件测试网 M-{3B0|#Q5v s

<图二>51Testing软件测试网HS4\ r8v;M:n7Zy

51Testing软件测试网j&^Zm2d8rG{ W

clip_image006[1]

/G[} k^i8nC2x y[0

3a$q&N!R"C'[0<图三>

"_.Y5O!{&F!U051Testing软件测试网(S?dGN,d%?%f

本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。

T)\ U#e2r ? \(h4B,u0

I.j4dA"o e%s0三、在上图上选择“添加”增加一个叫“非服务器IP地址网段”的策略.51Testing软件测试网N#y:i V6?^

51Testing软件测试网-W6y P7J |"[&p6Sn1xDF

clip_image008[1]

"C9Yiz#eE4xH051Testing软件测试网`3]\)vC5S^%YK

<图四>51Testing软件测试网0D!f'E*c1g

51Testing软件测试网4d rgsHt

四、在上图中取消“使用添加向导”;然后点击“添加”按钮进入设置窗口。

!|&HhM:e0

6[K.BpJ"L!k%[6g0本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。51Testing软件测试网niZ;j%x+\!t

51Testing软件测试网p{N5N _ tY

image51Testing软件测试网 G,Y^ `;w

wd%TM a-LtB1G0<图五>51Testing软件测试网+{m&Md l"@

9np&^ oHN4y+`k+~S$E0说明:在上图中:源地址采用默认的“我的IP地址”,目标地址选择“一个特写的IP子网”,在我的工作环境中我需要该服务器只能访问192.168.0.1~192.168.0.128 的IP段(此网段为服务器IP网段).51Testing软件测试网+aii#rk l B5@J

51Testing软件测试网r"h,r&{-V#U1k

五、在上图中选择“协议51Testing软件测试网0e%\ OZ4xd-Pa5pE

!G/Q.ELrv"y Ox0image

*md \ d0J cIV0

9b&Ug8| ?+\0<图六>51Testing软件测试网 @V e/C*VE7H[9D

1eu ?;r:`/H7fwF&S o5d0说明:因为是拒绝访问非服务器外的共享,所以“选择协议类型”采用TCP,“从任意端口”到此端口(139)

FY6U9wn;E F3{9T051Testing软件测试网 XI r|S u`

六、重复“图四”共增加“TCP 139/445”共2个目标端口。

&VZi rqe051Testing软件测试网3Y.Dw2Z}tROL#eo

==========================

%?7LiMAu uk051Testing软件测试网'e!@f\^"z

六、增加IP筛选器的动作。

#gq zQMz XWyV051Testing软件测试网,H8G De1Jm

在“图三”中选择“管理筛选器操作”,点击“添加”选择“阻止

(WDj!Xqm0

l3?]:Cb U0clip_image01751Testing软件测试网b0B sk"Q

51Testing软件测试网z;p6^%t? D6Dp

<图七>51Testing软件测试网 d,we _sco8IeI%F

6Y&anJq h^x}6H0clip_image019

V8WAZ*Su.GH0

)Ab,I H#D6sgw0<图八>51Testing软件测试网/mu ha)S2_ p

,yu9K4u c V8r+fg0完成后的界面如下:51Testing软件测试网,ZAO6RY1G

8jb*h q$RF+`O&[0image51Testing软件测试网W&`"[_|a8`

`ZR;kC;Ok:r b2jw8?0<图九>

S%t7D5}8M'fbs(C#s~0

8Dz3~ iJ(^+o8tm0七、创建IP策略51Testing软件测试网o-`PXB J

7^{b8_J(I0v0在<图二>中选择“创建IP策略”,取消“激活默认响应规则”,“下一步”后点击“完成”51Testing软件测试网D+k i5J-{P`2c-M

*S!ka Z#ot*~0clip_image024[1]51Testing软件测试网0I}$O Y { TX3A

]$w,o6u VC o-}0八、在窗口中取消“使用添加向导”,然后点击“添加”按钮51Testing软件测试网.W f.z;i9{X

3V;tjaW0clip_image026[1]51Testing软件测试网1PQ"z1Z SUrP4N5g;xq

51Testing软件测试网a0gw%izva

九、在弹出的窗口中选择刚才新建的IP筛选器。51Testing软件测试网,h eL'l;wA%~2Q`

7M${ l+WI q-QC0clip_image028[1]51Testing软件测试网R7W?~SS M

+Mk_O,Nh'S-nK0十、在“筛选器操作”框中选择执行的动作。后确定完成操作。

"ie0e4dZQh I0

PQ? L*n1W f0clip_image030[1]

5wV(j*Q(IObu051Testing软件测试网\Oa*X7t)E-i.is(c0d

十一、对刚才新建的策略进行“指派”51Testing软件测试网1`E"n(Op? ZP(M u#q q

&vo,j#I3P%\0V0clip_image032[1]51Testing软件测试网pq~0w,fF9tv8^q

$P:L HYl)do0================51Testing软件测试网7lbm6n2J[&CR

2z`;z fk-\/c0好了,现在我们来看看结果。51Testing软件测试网fM-h/X%k0x0U%^iE

{PsDV0一、首先不对策略进行指派。在下图的右窗口中的策略“拒绝访问服务器共享”设置为未指派,可以可以访问192.168.0.141电脑的共享。51Testing软件测试网%H-c j2IHF$@&T(R5R

51Testing软件测试网1~!uSB2C(D;z;Q

本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。

b5K/P:e2s`s051Testing软件测试网g|ZSx3Y8~

clip_image03451Testing软件测试网+E i1cj V4y

51Testing软件测试网4F&CN#nJ*z8S8\

二、对“拒绝访问服务器共享”策略进行指派后的结果。51Testing软件测试网 nMJ.?$FWQ%fr

e\1WS0O0clip_image036

[g6C"PpC~v@{Ud [ F0

收藏 举报

TAG:

 

评分:0

我来说两句

Open Toolbar