背景描述：

A,B,C,D四台电脑，只允许A,B,C三台电脑远程访问D，其它任何ip地址不可以远程D电脑（但是下面的配置截图稍微有区别，大同小异自己多理解，不要照搬照抄）。

测试系统：

Windows Server2012；win10专业版测试过也是可以的，其它系统没测试过，自己测试。

说明：（1）以windows server2012 环境为例，步骤：先禁止所有IP访问3389端口，再允许固定IP访问。（2）配置过程中很多步骤图是重复的，一些没价值的图就省略了；（3）光看的话可能中间重复配置 安全规则和IP筛选器模块会 看晕，但按这个步骤配置肯定没有问题。 过程梳理：配置IP筛选器列表——指定筛选器操作----应用到安全策略——分配-----检查服务是否启动。（4）设置完成后注意IPSEC服务 必须为“启动”状态且启动类型必须设置为“自动”，否则机器重启后无效(在服务列表表中找IPsec Policy Agent服务)；

一、打开本地安全策略

首先要打开本地安全策略，可以通过以下几种方法打开1、开始---运行---输入“secpol.msc”---回车2、开通---控制面板---管理工具---本地安全策略

二、管理IP筛选列表

下面步骤是禁止某个ip访问和上面的背景描述有区别，但是大同小异，自己根据配置操作。

2.1 右击“IP安全策略，在本地机器 ”---“管理IP筛选列表……”

2.2 在“管理IP筛选列表……”窗口点击“添加”

2.3 在ip筛选列表中输入名称和描述，点击“添加”

2.4 弹出ip筛选器向导，点击下一步，输入描述（按照需要填写），点击下一步

2.5 点击源地址下拉按钮选择“一个特定的IP地址或子网”，将需要阻止的IP填入后门空白框中，点击下一步

2.6 点击目标地址的下拉按钮选择“我的ip地址”，点击下一步

2.7 由于是要阻止恶意ip,所以协议类型默认选择“任何”，点击下一步，协议选择任何，会ping不通。(如果只是要禁止远程访问3389，那么就选tcp协议，后面一步选3389端口)

2.8 勾选“编辑属性”然后点击完成

2.9 点击确定，然后点击确定

说明：如果要只允许某个ip地址访问，那么根据上面配置步骤，先建立一个禁止所有IP访问3389端口，再允许固定IP访问，这里我就不配置了，因为时间问题，个人测试过是ok的。

三、管理筛选器操作

3.1 返回到“管理IP筛选列表……”界面，将菜单栏切换到“管理筛选器操作”，然后点击“添加”

3.2 弹出筛选操作向导窗口，点击下一步筛选操作名称：输入名称和描述，点击下一步

3.3 筛选器操作常规选项：选择“阻止”，点击下一步，然后点击完成。（如果是允许某个ip访问，就选择“许可”）

3.4 关闭“管理IP筛选列表……”窗口

四、创建IP安全策略

4.1 右击“IP安全策略，在本地机器 ”---“创建ip安全策略”弹出ip安全策略向导点击下一步

4.2 设定ip安全策略名称和描述，根据个人需要填写下，点击下一步，直至点击完成

4.3 弹出新窗口，点击添加在安全规则向导，点击下一步

4.4 在隧道终结点窗口，默认选择“此规则不指定隧道”，点击下一步

4.5 网络类型，默认选择“所有网络连接”，点击下一步

4.6 ip筛选器列表，选择之前创建的“阻止ip”，点击下一步

4.7 筛选器操作，选择之前创建的“阻止”，点击下一步然后点击完成

4.8 ip筛选列表，要勾选之前创建的，然后点击确定

五、分配安全策略（没有分配的话，即使服务启动了，也是无法生效的，个人测试过）

5.1 右键点击“阻止ip访问”，选择“分配”

5.2 阻止ip访问前面的图标有显示一个绿色的点就是生效了

六、去services.msc服务列表中找到IPsec Policy Agent服务，开启服务，避免重启后服务没有启动，请把服务选择自动启动类型。

至此，Windows Server2012通过本地安全策略阻止IP访问，可以测试。