编者按：笔者单位需要计算机只能访问监控平台的IP 地址，不可以访问其它任何地址，并且不能影响杀毒软件病毒库升级。笔者根据单位实际情况，综合考虑后决定使用本机IP 安全策略与交换机端口作ACL 访问控制相结合的方法。

IP 安全策略是系统自带的一个组策略功能，利用它可以满足我们很多网络连接方面的需求，特别是服务器端口开放，IP访问等，总之功能很强大，用途很广泛。如何实现只允许访问特定网址，除此之外其它网址都不能访问。

下面是操作步骤：

1.在开始“运行里”输入：secpol.msc，点击“确定”。在弹出的“本地安全设置”的窗口，选中左边框里的“IP安全策略 在本地计算机”。

2.在“IP 安全策略”上鼠标右键，在右键菜单里选择“管理IP 筛选器列表和筛选器操作”。

3.在弹出的对话框中选择“管理IP 筛选器列表”标签，单击下面的“添加”按钮，在弹出的“IP 筛选器列表”对话框中去掉右侧“使用添加向导”的勾选，在名称框里输入“屏蔽的网址”，单击右边的“添加”按钮。

4.在弹出的“IP 筛选器属性” 对话框的“源地址”下拉框中选择“我的IP 地址”，“目标地址”下拉框中选择“任何IP 地址”，之后选中“镜像”复选框；然后单击上面的“协议”标签，在“选择协议类型”的下拉框选中“TCP”，点选最下面的“到此端口”并在下面填入80，然后单击“确定”按钮。

5.在返回的“IP 筛选器列表”对话框中可以看到刚添加的IP 筛选器，也就是针对任何IP 地址80 端口的规则，之后单击“确定”按钮。

6.在“管理IP 筛选器列表和筛选器操作” 对话框中继续添加IP筛选器，单击下 边的“添加”按钮，在弹出的对话框中的名称文本框中填入“允许访问的网址”，去掉右侧“使用添加向导”的勾选之后单击右边的“添加”按钮。

7.在弹出的“IP 筛 选器属性”对话框的“源地址”下拉框中选择“我的IP 地址”，“目标地址”下拉框中选择“一个特定的IP 地址或子网”，之后在下面的文本中填入允许访问的IP 地址，在这里填入领导要求访问的监控平台的IP，之后选中“镜像”复选框。这里可以举一反三，如果目标地址是域名，则需要在“目标地址”下拉框里选中“一个特定的DNS 名称”，在主机名文本框中填入想要访问的域名地址，单击上面的“协议”标签。在“选择协议类型”的下拉框选中“任何”之后单击“确定”按钮。

8.在返回的“IP 筛选器列表” 对话框中可以看到新添加的这条规则，也就是针对特定IP 地址的规则，这里的记录多少是不定的，可以根据实际需要添加。

9.领导要求除了访问监控平台的地址外，杀毒软件病毒库能正常升级，我们可以先运行病毒库升级程序，之后在“运行”中输入 “cmd”之后使用netstat –ano 命令查看本机病毒库升级程序访问的外部地址及端口，作为“IP 筛选器”将这些地址按前面的步骤加入到“允许访问的网址”IP 安全规则中。

10.在返回到“本地安全策略”的主窗口，在“IP 安全策略 在本地计算机”鼠标右键选择“创建IP 安全策略”，在弹出的“IP 安全策略向导”对话框，直接点“下一步”，在名称文本框中填入“策略1”，在下面的描述框输入对这个策略用途的描述，方便以后管理。单击“下一步”，去掉“激活默认响应规则”前面的勾选。单击“下一步”按钮后单击“完成”按钮。

11.在弹出的“策略1属性” 对话框，去掉右下角“使用添加向导”的勾选，然后点“添加”按钮。在弹出的“新规则属性”对话框下面的“IP 筛选器列表”里选中前面建好的“屏蔽的网址”筛选器，然后单击上面的“筛选器操作”标签，在“筛选器操作”下面点选“阻止”单选框，然后单击“确定”按钮。

12.这时候在返回到的“策略1 属性” 对话框下的“IP 安全规则”里有了一个名为“屏蔽的网址”的规则，筛选器的操作是“阻止”，这时候我们要继续点击“添加”按钮，把前面做的允许访问的规则也添加进去。

13.在“新规则属性”对话框下的“IP 筛选器列表”里点选前面建好的“允许访问的网址”策略，然后点击“筛选器操作”标签，在“筛选器操作”里点选“许可”单选框，然后点“确定”按钮。

14.这 时候 在“策 略1属性”对话框下面的“IP 安全规则”里出现了新添加的两个规则，一个是“屏蔽的网址”，操作是阻止，一个是“允许访问的网址”，操作是允许。这样我们就利用了规则的允许优先的原则达到了我们的目的，先屏蔽掉所有的网址，然后放开允许的网址，至此整个设置工作完成，不过规则还没生效，我们点击“关闭”按钮返回到 “本地安全设置”窗口。

15.在此窗口右侧，找到刚才新建的“策略1”，在上面鼠标右键选择“指派”。至此所有的操作完成，可以去打开网页进行测试，效果非常好。如果想停止策略，可以在已指派的策略上鼠标右键取消指派。需要说明一下，一次只能指派一个策略，多个策略不能同时工作，但是我们可以在一个策略里建立多个安全规则来实现不同的功能需求。最后要注意一点，设置完成后IPSEC 服务必须为“启动”状态并且启动类型必须设置为“自动”。

设置完成后，可以将这个策略导出留作备份，后期重装系统后可以将文件再导入到策略中。接下来继续作一下交换机的ACL 访问控制列表配置，用packet filter 策略来实现，使用这个方法结合上面IP 安全策略的配置可以非常有效的实现领导的要求，做到双重保险。例如，这台监控用计算机与交换机1 口连接，使其只能访问192.168.1.1 这个IP，以H3C交换配置命令举例如下：

acl number 3000

rulepermitip destination 192.168.1.1 0.0.0.0

rule deny ip

interface gigabite thernet 1/0/1

packet filter 3000