Windows服务器设置指定IP远程访问方法

通常有两种方法可以实现服务器的特定IP访问限制：

第一种方法：通过防火墙实现

等保测评要求：限制服务器的远程终端登录地址。

因此，对于某一服务器，需要限定特定IP对其进行访问。

由于存在Windows Server 2003、2008、2012以及Linux这几种主流服务器，我们将分别介绍不同服务器的设置方法。

Windows Server 2003

1. 按下Win键+R键，输入Control，打开控制面板。
2. 找到Windows防火墙。
3. 在常规选项卡中，选择启用。
4. 在例外选项卡中，勾选远程桌面，选中，点编辑，勾选TCP 3389，点更改范围，选中自定义列表，然后输入允许访问的IP地址。

通过这种方式，利用服务器自身的防火墙，实现了限定特定IP访问该服务器的目的。

Windows 2003防火墙设置仅允许特定IP访问指定端口。

需要注意的是，启用防火墙可能会影响服务器的其他应用程序，例如FTP功能可能无法使用，或者瑞星杀毒软件无法联系到当前服务器。参照步骤4的操作，按需添加允许的程序和端口（点击添加程序、添加端口按钮）。

Windows Server 2008

1. 找到控制面板。
2. 找到Windows防火墙。
3. 选择高级设置，进入入站规则，找到远程桌面（TCP-In），双击。
4. 在常规选项卡中，选择允许连接。
5. 在作用域选项卡中，选择远程IP地址，选中下列IP地址，右击添加，将允许访问该服务器的IP地址逐个添加进去。

6. 点击应用，OK。

为了安全起见，同样对入站规则中的远程桌面-RemoteFX（TCP-In）进行相同的操作。

RemoteFX是微软在Windows 7/2008 R2 SP1中引入的一项桌面虚拟化技术，允许用户在使用远程桌面或虚拟桌面进行游戏或图形创作时，获得与本地桌面一致的效果。

由于Windows Server 2008的防火墙默认是开启的，在添加应用程序的过程中会顺便打开需要的程序和端口，因此不会出现Windows Server 2003的情况。

当然，如果防火墙原先是关闭的，开启后涉及到的应用可能会受到影响，需要开启相应的应用和端口。

Windows Server 2012

Windows Server 2012的设置与Windows Server 2008大致相同。

需要修改入站规则中的：

• 远程桌面-用户模式（TCP-In）
• 远程桌面-用户模式（UDP-In）

第二种方法：通过IP安全策略实现

1. 新建IP安全策略：按下WIN+R打开运行对话框，输入gpedit.msc进入组策略编辑器。
   • 依次打开“本地计算机”策略–计算机配置–Windows设置–安全设置–IP安全策略，在本地计算机上。
   • 或通过控制面板–管理工具–本地安全策略–IP安全策略，在本地计算机上。
   • 在右侧空白处右击，选择创建IP安全策略，弹出IP安全策略向导对话框。

• 点击下一步。
• 在名称里输入3389过滤，下一步。（3389端口为Windows远程端口）
• 取消激活默认响应规则，下一步。
• 选中编辑属性（默认选中），完成后会弹出3389过滤属性框。

2. 新建IP筛选器：在弹出的新IP安全策略属性对话框里取消使用“添加向导”，点击左侧的添加。

• 在弹出的新规则属性对话框里点击添加。
• 起个名称：放行指定IP的3389连接，点击添加。
• 在弹出的对话框里，下一步。
• 描述可以不填写，取消镜像。

• 点击下一步，源地址选择一个特定的IP地址（输入你自己的IP），目标地址选择我的IP（服务器自己的IP）。下一步。
• 在选择协议选项卡，协议类型选择TCP，下一步。
• 设置IP协议端口：上面选从任意端口，下面设置到此端口为3389。

• 下一步，完成，单击确定关闭IP筛选器属性，返回到新规则属性。
• 在新规则属性对话框里再点击添加，依照上面的再添加一个IP筛选器，名称为：阻止3389连接；和上面的唯一不同的是，在源地址选任意IP。

设置完毕返回到新规则属性后如图：

3. 给新建的IP筛选器加上筛选器操作：在刚才的新规则属性对话框上点击筛选器操作选项卡，点击添加，下一步。
   • 起名为许可，下一步，选择许可，下一步，点击完成。
   • 相同操作，起名为阻止，下一步，选择阻止，下一步，点击完成。
   • 点击”IP筛选器列表”标签。
   • 选中放行指定IP的3389连接（一定要让它前面的那个圈子是选中状态），然后再选择筛选器操作选项卡，选中许可。点击右下角应用。然后点击确定关闭”新规则属性”。
   • 然后返回到3389过滤属性页面，点击添加，选择阻止3389连接，然后再选择筛选器操作选项卡，选中阻止。点击右下角应用。然后点击确定关闭”新规则属性”。

此时，3389过滤属性页面如下图：

4. 确定后，右击3389过滤，选择指派，不用重启机器即可生效。（Windows Server 2008 R2为“分配”）

5. （可选）如果服务器设置了特定端口访问，可以参考以下设置准入规则：

   • 打开控制面板，Win+R输入control。
   • 找到防火墙，查看方式“小图标”Windows防火墙。
   • 左侧“高级设置”。
   • 左侧选择“入站规则”-->右侧选择“新建规则”。
   • 选择“端口”，下一步，输入3389。
   • 下一步，默认“允许连接”，下一步。
   • 默认选择，下一步。
   • 输入名称，点击完成。