我看到很多人建议你可以使用 IPsec 而不是使用内置的 Windows 防火墙来限制对一系列 IP 地址的 RDP 访问。这正是我需要做的,但我找不到任何关于如何实际设置的示例……我宁愿不把它搞砸,也不让自己从服务器上启动,也不能够重新连接。
有人能解释一下如何使用 IPsec 来限制对一定范围 IP 的 RDP 访问吗?
答案1
IP安全协议不是用于此目的的工具。您需要使用某种防火墙:内置的 Windows 防火墙或位于网络其他地方的防火墙。
除了使用防火墙来限制对 RDP 端口的访问之外,您可能还需要考虑使用 IPSEC 来加密和验证 RDP 流量,但从安全角度来看,这些都是单独的考虑因素。
请注意能有效地使用 IPSEC 来阻止对 RDP 的访问(只需要求所有 RDP 流量都使用 IPSEC 加密/身份验证,任何试图在没有加密/身份验证的情况下进行通话的人都将无法通过),但这是一个副作用并且不是限制访问的最正确方法。这也意味着您的服务器需要做更多工作(它会尝试为每次连接尝试协商 IPSEC,而不是像使用标准防火墙限制对端口的访问那样简单地拒绝尝试)。
答案2
这是一个老话题,但我今天刚好碰到了这个问题,搜索的内容和请求者一样。不幸的是,回复很糟糕,就像我在另外几个话题中发现的那样。如果我们能够轻松地使用安全连接规则来限制对特定主机的 RDP 访问,那么使用 Windows FW(它不是“真正的”防火墙)会好得多,因为它允许 FW 规则使用计算机帐户而不是 IP 地址。IP 地址更难管理;计算机名称比 IP 地址更容易管理。
令人遗憾的是,互联网上似乎没有人发布一些简单的步骤来方便使用 Windows FW 规则的“远程计算机”选项卡来限制 RDP 之类的访问。我已经给 Microsoft Premier Support 打了一天多的电话,但仍然没有找到可行的解决方案。
至于规则,总体而言,它们没有优先考虑,似乎属于最低权限获胜模式。如果您为所有端口创建“任意到任意”规则(并且不设置服务或程序,以便包含所有服务和程序),但 RDP(TCP/3389)除外,则您将允许所有进出服务器的流量,然后您可以专门为 RDP(TCP/3389)添加规则,以限制 RDP 访问的范围。
顺便说一句,使用上述建议,在启用 Windows FW 时,您可以保留所有默认规则,只需禁用特定于 RDP 的规则,添加“除 RDP 之外的任何”规则,然后添加新的 RDP 访问规则。这样,如果您以后决定进一步锁定访问权限,您已经拥有了有效的规则。
此外,使用 GPO 在测试时管理起来要容易得多,因为如果您搞砸了某件事,您可以简单地在 GPO 上恢复。您还可以将 GPO 过滤到特定的计算机。