如何设置IP安全策略，只允许特定IP访问服务器

03系统例举
01首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”
02使用鼠标右键单击左方的“ip
安全策略，在
本地计算机”选项，并选择“创建
ip
安全策略”选项
03点击“下一步”按钮
04设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以
05点击“下一步”按钮
06去掉“激活默认响应规则”选项的勾
07点击“下一步”按钮
08点击“完成”按钮
09去掉右导”选项的勾
10现在先开始添止所有机器访问服务器，点击“添加”按钮
11点击“添加”按钮
12设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以
13点击“添加”按钮
14如果该服务器不打算上网，则可以将“源地址”设置为“任何
ip
地址”。如果需要上网，建议设置为“一个特定的
ip
子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192168110，则可以设置为19216810，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在1921681的范围，则直接设置为2552552550即可
15将“目标地址”设置为“我的
ip
地址”
16点击“确定”按钮
17点击“确定”按钮
18选择刚创建的ip筛选器（即12步中设置的名称）
19切换到“筛选器 *** 作”选项页
20去掉“使用添加向导”选项的勾
21点击“添加”按钮
22选择“阻止”选项
23切换到“常规”选项页
24设置筛选器 *** 作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以
25点击“确定”按钮
26选择刚创建的筛选器 *** 作（即24步设置的名称）
27点击“应用”按钮
28点击“确定”按钮
29现在开始添加允许访问该服务器的机器，点击“添加”按钮
30点击“添加”按钮
31设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以
32点击“添加”按钮
33将“源地址”设置为“一个特定的
ip
地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）
34设置“目标地址”为“我的
ip
地址”
35点击“确定”按钮
36重复32至35步将要允许访问该服务器的ip全部添加
37点击“确定”按钮
38选择刚创建的“ip
筛选器”（即31步设置的名称）
39切换到“筛选器 *** 作”选项页
40选择“许可”选项
41点击“应用”按钮
42点击“确定”按钮
43点击“确定”按钮
44使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可
45以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置
注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp
-s命令来绑定），并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。

Interactive Services Detection手动
启用交互式服务的用户输入的用户通知，这样当交互式服务创建的对话框出现时可以访问这些对话框。如果此服务已停止，将不再有新的交互式服务对话框通知，而且可能再也无法访问交互式服务对话框。如果此服务已禁用，则不再有新的交互式服务对话框通知，也无法访问这些对话框。
我也不清楚什么算交互式服务，默认也是手动，保持默认吧。
Internet Connection Sharing (ICS)禁用
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。该服务的默认运行方式是禁用，如果你不打算让这台计算机充当ICS主机，那么该服务可以禁用，否则需要启用。
IP Helper禁用
在 IPv4 网络上提供自动的 IPv6 连接。如果停止此服务，则在计算机连接到本地 IPv6 网络时，该计算机将只具有 IPv6 连接。主要是提供IPv6的支持，说白了就是让IPv4和IPv6相互兼容，现在的情况下不是特别需要，其实设置成禁用也无妨。
IPsec Policy Agent禁用
Internet 协议安全(IPSec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netsh ipsec" 创建的 IPSec 策略。停止此服务时，如果策略需要连接使用 IPSec，可能会遇到网络连接问题。同样，此服务停止时，Windows 防火墙的远程管理也不再可用。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netshipsec" 创建的 IPSec策略。停止此服务时，如果策略需要连接使用 IPSec，可能会遇到网络连接问题。同样，此服务停止时，Windows 防火墙的远程管理也不再可用。
某些公司的网络环境要求必须打开，它提供一个TCP/IP网络上客户端和服务器之间端到端的安全连接。其他的情况建议设置成禁用。
KtmRm for Distributed Transaction Coordinator手动
协调分布式事务处理协调器(MSDTC)和内核事务管理器(KTM)之间的事务。如果不需要，建议保持该服务的停止状态。如果需要，MSDTC 和 KTM 将自动启动该服务。如果此服务已禁用，任何与内核资源管理器交互的 MSDTC 事务将失败，并且任何显式依赖它的服务将无法启动。
协调 MSDTC 和核心事务管理器(KTM)之间的事务。Vista提供的另外一种事务服务，对开发人员来说是比较有用，对于一般的用户或者非开发人员来说，设置成手动。
Link-Layer Topology Discovery Mapper手动
创建网络映射，它由 PC 和设备拓扑(连接)信息以及说明每个 PC 和设备的元数据组成。如果禁用此服务，则网络映射将不能正常工作。
应该是支持LLTD(LinkLayerTopologyDiscovery) 技术，可以精确地显示支持LLTD的设备在网络结构中的位置，比如Vista的无线地图 ，保持默认手动。
Microsoft NET Framework NGEN v2050727_X86手动
Microsoft NET Framework NGEN
NET开发人员都知道 NGEN的用法，保持默认的手动即可，以后会有很多基于NET FX3的应用，那么这个服务会有用的。
Microsoft iSCSI Initiator Service禁用
管理从这台计算机到远程 iSCSI 目标设备的 Internet SCSI (iSCSI)会话。如果该服务已停止，则该计算机将无法登录或访问 iSCSI 目标设备。如果该服务已禁用，则所有显式依赖于该服务的服务将不会启动。
如果本机没有iSCSI设备也不需要连接和访问远程iSCSI设备，设置成禁用。
Microsoft Software Shadow Copy Provider手动
管理卷影复务制作的基于软件的卷影副本。如果该服务被停止，将无法管理基于软件的卷影副本。如果该服务被禁用，任何依赖它的服务将无法启动。
卷影拷贝，如果不需要就可以设为禁用，一般用户基本都不会用到。
Multimedia Class Scheduler自动
基于系统范围内的任务优先级启用工作的相对优先级。这主要适用于多媒体应用程序。如果此服务停止，个别任务将使用其默认的优先级。主要是针对一些多媒体应用的音/视频流设置优先级，禁用可能会导致声卡功能出现问题，建议打开这个服务，设成手动一般也会自动启动。
NetTcp Port Sharing Service禁用
提供通过 nettcp 协议共享 TCP 端口的功能。
WCF要用的，一般用户和非开发人员，还是禁用就行了。
Netlogon手动
为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册DNS 记录。如果此服务被禁用，任何依赖它的服务将无法启动。
登陆活动目录时，和域服务通讯验证的一个服务，一般验证通过之后，域服务器会注册你的DNS记录，推送软件补丁和策略等等，登陆域会用到它。工作组环境可以设为禁用。
Network Access Protection Agent手动
网络访问保护(NAP)代理服务收集和管理网络上客户端计算机的健康信息。NAP 代理收集的信息用于确保客户端计算机具有所需的软件和设置。如果客户端计算机与健康策略不兼容，则可以为其提供受限的网络访问权限，直至更新其配置。根据健康策略的配置，可能自动更新客户端计算机，以便用户可以迅速重新获取完全网络访问权限，无须手动更新他们的计算机。
在客户端计算机上启用网络访问保护(NAP)功能，这是NAP架构中的客户端，默认设置手动即可。
Network Connections手动
管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。当你点击网络和拨号连接时这个服务就开始工作，主要是获得局域网和远程连接的对象，只要你联网这个服务就会启动。不要关闭它。
Network List Service手动
识别计算机已连接的网络，收集和存储这些网络的属性，并在更改这些属性时通知应用程序。
这个服务是列举现有的网络，展示目前的连接状态。关闭它会导致网络不正常，所以不要去动它。
Network Location Awareness自动
收集和存储网络的配置信息，并在此信息被修改时向程序发出通知。如果停止此服务，则配置信息可能不可用;如果禁用此服务，则显式依赖此服务的所有服务都将无法启动。就是NLA，能够很好的支持和标示多网卡，或者是你从家庭、个人、公司的网络中进行切换和变化时，给你提供增强的功能，大多数情况会随着NetworkConnections自动启动。
和XP的NLA不同，关闭它网络正常但是会提示没插网线，最好别去动它。
Network Store Interface Service自动
此服务向用户模式客户端发送网络通知(例如，添加/删除接口等)。停止此服务将导致丢失网络连接。如果禁用此服务，则显式依赖此服务的所有其他服务都将无法启动。
这是支持NLA的一个服务，比如保存每个网络的 Profile，所以它的运行状态会和NLA相同，最好别去动它。
Offline Files禁用
脱机文件服务在脱机文件缓存中执行维护活动，响应用户登录和注销事件，实现公共 API 的内部部分，并将相关的事件分配给关心脱机文件活动和缓存更改的用户。
脱机文件服务，使用这个功能系统会将网络上的共享内容在本地进行缓存，可以禁用。
Peer Name Resolution Protocol手动
使用对等名称解析协议(PNRP)在 Internet 上启用无服务器对等名称解析。如果禁用该功能，则某些对等应用程序和协作应用程序(如远程协助)可能无法运行。
如果你不尝试WCF的P2P功能或开发，那么连同下面两个服务都可以禁用。
Peer Networking Grouping
Peer Networking Identity Manager
Performance Logs & Alerts手动
性能日志和警报根据预配置的计划参数从本地或远程计算机收集性能数据，然后将该数据写入日志或触发警报。如果停止此服务，将不收集性能信息。如果禁用此服务，则明确依赖它的所有服务将无法启动。
EventLog和任务调度器等多个服务会用到它，个人认为它也是比较耗费资源的，但不建议设置成禁用，手动即可。
Plug and Play自动
使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
即插即用，最基本的服务之一，想关也关不了。
PnP-X IP Bus Enumerator禁用
PnP-X 总线枚举器服务管理虚拟网络总线。该服务使用 SSDP/WS 发现协议来发现网络连接设备并使其存在于 PnP 中。如果停止或禁用此服务，则NCD 设备将不会继续保持在 PnP 中。所有基于 pnpx 的方案都将停止运行。PnP-X 总线枚举服务器-Windows ConnectNow(WCN)，即微软网络和装置平台的组件之一，它是即插即用的扩展，支持某些联网的智能家电装置(比如能联网的电饭锅、冰箱)连接到你的 PC上面。
目前还用不上， 禁用它!
PNRP Machine Name Publication Service手动
此服务使用对等名称解析协议发布计算机名称。配置是通过 Netsh 上下文“p2p pnrp peer”管理的。
这个是用来对P2P网络中发布服务器进行命名解析的，一般不需要它。默认即可。
Portable Device Enumerator Service禁用
强制可移动大容量存储设备的组策略。使应用程序(如 Windows Media Player 和图像导入向导)能够使用可移动大容量存储设备传输和同步内容。
如不需要同步建议关闭。
Power自动
管理电源策略和电源策略通知传递。
该服务的默认运行方式是自动，保持默认。
Print Spooler禁用
将文件加载到内存供稍后打印
不用多说了，有打印机(包括虚拟的)就开，没有就关。
Problem Reports and Solutions Control Panel Support禁用
此服务为查看、发送和删除“问题报告和解决方案”控制面板的系统级问题报告提供支持。
开了它基本也解决不了你计算机出的问题。禁用吧。
Program Compatibility Assistant Service自动
此服务为程序兼容性助手(PCA)提供支持。PCA 监视由用户安装和运行的程序，并检测已知兼容性问题。如果停止此服务，PCA 将无法正常运行。
如果你使用到 Program CompatibilityAssistant或者需要将你的程序设置成兼容模式运行，比如运行在Win98 或 Windows2000的方式下，就修改成自动，强烈建议设置为自动。
Protected Storage手动
为敏感数据(如密码)提供保护存储，以防止未授权的服务、进程或用户访问。
2000/XP流传 下来的服务，尽管用处不大，但为了安全还是保留着吧，禁用或手动均可。
Quality Windows Audio Video Experience禁用
优质 Windows 音频视频体验(qWave)是用于 IP 家庭网络上的音频视频流应用程序的网络平台。通过确保 AV 应用程序的网络服务质量(QoS)，qWave 增强了 AV 流的性能和可靠性。它提供了许可控制机制、运行时监视和实施、应用程序反馈以及流量优先顺序。
主要用于改善和加强IP网络上的音频视频流的传输和播放质量，控制流量，个人感觉这个不起什么作用，支持这样技术的网络服务也不多。还是系统资源比较重要，禁用它。
Remote Access Auto Connection Manager手动
只要程序引用远程 DNS 或 NetBIOS 名称或地址，就创建一个到远程网络的连接。一般ADSL拔号和接入都会用到这个服务。
如果设置成禁用，就建不了连 接了。还是手动比较好。
Remote Access Connection Manager手动
管理从这台计算机到 Internet 或其他远程网络的拨号和虚拟专用网络()连接。如果禁用该项服务，则明确依赖该服务的任何服务都将无法启动。
创建连接的时候使用， ADSL//其他什么拨号网络都会用到这个服务。关了的话就不能上网了，保持默认。
Remote Procedure Call (RPC)自动
RPCSS 服务是 COM 和 DCOM 服务器的服务控制管理器。它执行 COM 和 DCOM 服务器的对象激活请求、对象导出程序解析和分布式LJ收集。如果此服务被停用或禁用，则使用 COM 或 DCOM 的程序将无法正常工作
。强烈建议您让 RPCSS 服务运行别动这个，系统重要服务。
Remote Procedure Call (RPC) Locator手动
在 Windows 2003 和 Windows 的早期版本中，远程过程调用(RPC)服务可管理 RPC 名称服务数据库。在 Windows Vista 和 Windows 的更新版本中，此服务不提供任何功能，但可用于应用程序兼容性。
配合RPC的服务，可以设置手动，但不建议设置成禁用。
Remote Registry禁用
使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。
家庭个人用户最好禁用 此服务，公司管理就需要打开了。
Routing and Remote Access禁用
在局域网以及广域网环境中为企业提供路由服务。
提供路由服务的。不用就关。
RPC Endpoint Mapper自动
解析 RPC 接口标识符以传输端点。如果此服务被停止或禁用，使用远程过程调用(RPC)服务的程序将无法正常运行。
该服务的默认运行方式是自动，不要去改动它。
Secondary Logon禁用
在不同凭据下启用启动过程。如果此服务被停止，这种类型的登录访问将不可用。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
允许一台机器同时有两个用户登录，个人 应用基本不需要，禁用。
Secure Socket Tunneling Protocol Service手动
提供使用 连接到远程计算机的安全套接字隧道协议(SSTP)的支持。如果该服务被禁用，则用户将无法使用 SSTP 访问远程服务器。
这个服务主要是连接服务的，如果用 第三方客户端，可以关闭，但是RemoteAccessConnectionManager这个服务依赖这个服务，还是别动吧。
Security Accounts Manager自动
启动此服务将向其他服务发出信号: 安全帐户管理器(SAM)已准备就绪，可以接受请求。禁用此服务将导致在 SAM 准备就绪时，无法通知系统中的其他服务，从而可能导致这些服务无法正确启动。不应禁用此服务。禁 用此服务将导致在 SAM 准备就绪时，无法通知系统中的其他服务，从而可能导致这些服 务无法正确启动。不应禁用此服务。
系统的安全账户管理服务，关了就不能添加用户，修改 用户密码等用户 *** 作了，建议默认别动它。
Security Center自动
WSCSVC(Windows 安全中心)服务监视并报告计算机上的安全健康设置。健康设置包括防火墙(打开/关闭)、防病毒软件(打开/关闭/过期)、反间谍软件(打开/关闭/过期)、Windows Update(自动/手动下载并安装更新)、用户帐户控制(打开/关闭)以及 Internet 设置(推荐/不推荐)。该服务为独立软件供应商提供 COM API 以便向安全中心服务注册并记录其产品的状态。 *** 作中心(AC) UI 使用该服务在 AC 控制面板中提供 systray 警报和安全健康状况的图形视图。网络访问保护(NAP)使用该服务向 NAP 网络策略服务器报告客户端的安全健康状况，用于确定网络隔离。该服务还有一个公用API，该 API 允许外部客户以编程方式检索系统的聚合安全健康状况。
Win7已经将原有的SecurityCenter 更改为ActionCenter,包含对十大Windows功能的提示,建议保持默认。
Server禁用
支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
如果不需要在网络上共享什么东西就可以禁用。
Shell Hardware Detection禁用
为自动播放硬件事件提供通知。
对于自动播放的设备或硬件提供通知，如果你不喜欢自动播放功能，那么设置成手动或禁用，这样你新插入一个U盘，可能系统没有任何提示。
Smart Card禁用
管理此计算机对智能卡的取读访问。如果此服务被终止，此计算机将无法取读智能卡。如果此服务被禁用，任何依赖它的服务将无法启动。
SmartCard 服务，拨入公司网络、连接 等所必需的，如果你没有使用SmartCard，建议设置成禁用。
Smart Card Removal Policy禁用
允许系统配置为移除智能卡时锁定用户桌面
如果希望在用户拿走智能卡之后计算机锁定， 那么打开这个服务;其他情况下设置成手动或禁用。
SNMP Trap手动
接收本地或远程简单网络管理协议 (SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的 SNMP 管理程序。如果此服务被停用，此计算机上基于 SNMP 的程序将不会接收 SNMP 陷阱消息。如果此服务被禁用，任何依赖它的服务将无法启动。
允许你的 机器处理简单网络管理协议，很多网管协议是基于SNMP的。不是网管的话建议禁用。
Software Protection自动
SoftwareProtection 启用 Windows 和 Windows 应用程序的数字许可证的下载、安装和实施。如果禁用该服务， *** 作系统和许可的应用程序可能以缩减功能模式运行。负责win7系统的License管理 和验证，以及提供接口/API服务供Windows系统或其他应用程序使用。Win7的新增特性均会使用这个服务，如果设置成禁用可能会激活win7的保护功能，导致系统的部分功能不可用。
强烈建议开启设为自动。
SPP Notification Service手动
提供软件授权激活和通知。
该服务的默认运行方式是手动，保持默认。
SSDP Discovery禁用
发现了使用 SSDP 发现协议的网络设备和服务，如 UPnP 设备。同时还公告了运行在本地计算机上的 SSDP 设备和服务。如果停止此服务，基于SSDP 的设备将不会被发现。如果禁用此服务，任何显式依赖于它的服务都将无法启动。
该服务在网络中搜索使用了 SSDP发现协议的一些设备，比如一些非即插即用的设备，如果没有相关设备，可以禁用它。
Superfetch自动
维护和提高一段时间内的系统性能。
毫无疑问，这是Vista最好的功能之一，可以维护和提高系统的性能，尽管效果不明显，但没有理由设置成其他的选项。
System Event Notification Service自动
监视系统事件并通知订户这些事件的 COM+ 事件系统。
SENS提供了一个唯一的系统追踪、通知的机制，使用于系统的登陆、设备连接、网络连接、电源和内部事件的订阅及通知， 不建议设置成禁用，保持自动不变。

---