这个操作方法在过去几年里有很多人问过,我也在房间讲过数次,IP安全策略是系统自带的一个组策略功能,利用它我们满足自己很多网络连接方面的要求,比如指定那台电脑能够连接本机,可以允许那些网址可以访问,那些网址不能访问。
IP安全策略的操作并不复杂,操作步骤简单,重要的是并不占用什么资源,也无需安装第三方软件。
由于IP安全策略用得好可以有很多种用途,所以我就不一一赘述,正好有朋友问怎么屏蔽掉所有网址只允许访问指定的网址,那我就说说这个怎么利用IP安全策略来达到。
首先我要说明一下,比如我们只允许访问www.baidu.com这个网址,那么做好策略后仅仅只能访问百度首页,像什么百度mp3,百度图片将都不能打开,因为这些网址的主机头不一样(百度mp3的网址是mp3.baidu.com),如果想放开就需要把mp3.baidu.com也添加到允许列表里去。
下面是操作步骤:
1、在开始运行里输入:secpol.msc,点击确定。
2、运行secpol.msc后会出来“本地安全设置”的窗口,我们选中左边框里的“IP安全策略”。
3、在“IP安全策略”上鼠标右键,在右键菜单里选“管理IP筛选器表和筛选器操作”。
4、点击菜单后弹出筛选器操作窗,选中“管理筛选器操作”标签,去掉右下角“使用添加向导”的勾选,点添加。
5、这时候会弹出“新筛选器操作属性”窗,点选中“阻止”。
6、然后点上面的“常规”标签,在名称框里输入“阻止”,点确定。
7、返回到“管理IP筛选器表和筛选器操作”窗口后,我们点开“管理IP筛选器列表”,点添加按钮,弹出“IP筛选器列表”窗口。去掉右下角“使用添加向导”的勾选,在名称框里输入“屏蔽网页”,点右边的添加按钮。
8、在弹出的“筛选器属性”窗里去掉“镜像”的勾选。然后点上面的“协议”标签。
9、在“选择协议类型”的下拉框选中“TCP”,点选最下面的“到此端口”并在下面填入80,然后点确定按钮。
10、在返回的“IP筛选器列表”窗里可以看到已经添加进去了一条筛选规则,也就是针对任何IP地址的80端口的规则。点击确定按钮。
11、在返回的“本地安全设置”窗口,我们继续在“IP安全策略”上右键点击“管理IP筛选器表和筛选器操作”。
12、在出来的窗口直接点击添加按钮。
13、在出来的窗口里名称框填入“允许访问的网址”,点击右边的添加按钮。
14、在弹出的“筛选器属性”窗口下去掉“镜像”前面的勾选,在“目标地址”下拉框里选中“一个特定的DNS名称”,然后在下面填入允许访问的网址,我这里举例用的百度首页,所以填入了www.baidu.com。然后点击确定。
15、出来一个“安全警告”窗口,直接点“是”。
16、在返回的“IP筛选器列表”下面我们可以看到新添了两条记录,这里的记录多少是不定的,由系统解析对应网址的IP多少来决定的,一般在1-4个。点击确定按钮。
17、在返回的窗口,我们可以看到已经添加进去了两个筛选器,“屏蔽网页”和“允许访问的网址”,在创建安全策略之前他们都是不起作用的,安全策略和筛选器之间的关系就好比酒楼里面菜谱和客人之间的关系,只有客人按照菜谱点了菜后这买卖才算有效了,呵呵。
18、在上面那个爽口点击关闭后将返回本店全设置的主窗口,还是在“IP安全策略”上鼠标右键选“创建IP安全策略”。
19、弹出的“IP安全策略向导”窗口,直接点“下一步”。
20、在名称窗口中填入“策略一”,在下面的描述框输入自己对这个策略用途的描述,方便以后管理。点击下一步。
21、去掉“激活默认响应规则”前面的勾选。点击下一步。
22、点击“完成”。
23、在弹出的“策略一 属性”窗口,去掉右下角“使用添加向导”的勾选,然后点添加按钮。
24、在弹出的“新规则属性”窗下面“IP筛选器列表”里点选中前面做好的“屏蔽网页”筛选器,然后点开上面的“筛选器操作”标签。
25、在“筛选器操作”下面点选“阻止”,然后点确定。
26、这时候在返回到的“策略一 属性”窗口下的“IP安全规则”里有了一个“屏蔽网页”的规则,而且筛选器操作是“阻止”,这时候我们要继续点添加按钮,把前面做的允许访问的规则也添加进去。
27、在“新规则属性”窗口下的“IP筛选器列表”里点选前面做好的“允许访问的网址”策略,然后点上面的“筛选器操作”标签。
28、在“筛选器操作”里点选“许可”,然后点确定按钮。
29、这时候在“策略一 属性”窗口下面的“IP安全规则”里出现了新添加的两个规则,一个是“屏蔽网页”,操作是阻止,一个是“允许访问的网址”,操作是允许。这样我们就利用了规则的允许优先的原则达到了我们的目的,先屏蔽掉所有的网址,然后放开我们允许的,至此整个设置工作完成,不过规则还没生效,我们点击“关闭”按钮返回到“本地安全设置”窗口。
30、在出来的窗口右边,找到我们做的“策略一”,在上面鼠标右键选择“指派”。
至此所有的操作完成,可以去打开网页看看,除了百度首页可以打开,任何后面不指定端口号的网页都无法打开了。
如果想停止策略,可以在已指派的策略上鼠标右键取消指派。有几点要说明一下,一次只能指派一个策略,别指望多个策略同时工作,但是可以在一个策略里选择多个规则。
其实很多人都没有充分利用到系统自带功能,这个可是极大地浪费哦,因为你不用它也存在。另外我发觉有很多低劣的软件一些人还用得乐滋滋的,其实和系统自带的功能比起来就是浮云了,当然了这也不能怪用户,主要是微软官方的说明不是很通俗,造成让计算机基础不扎实的用户容易发懵,不过不管怎样,利用好手头上的资源才是王道,因为不管系统怎样升级这些操作技能总是有用的。
IP安全策略的用途很多,我也不能一一进行举例说明(写篇图文并茂的日志着实很累啊),希望大家能从这一个操作去加深印象,以后能用的更好。
