限制图形堡垒发布的SecureCRT只能连接字符堡垒的配置方法

之前发布过防止PLSQL绕行登录数据库控制方法，有项目反馈，用户能通过图形堡垒发布的CRT，手工连接其他主机，导致绕过字符堡垒的情况。本想按照前面的套路，修改CRT的菜单，结果发现不可行，菜单文件里面写的是二进制的，根本无法对应。经过测试，可以通过windows防火墙出站策略控制指定目录下CRT只连接指定IP的指定端口（比如只连字符堡垒的端口），如果项目组测试时需要用CRT手工连接其他IP和端口，只需拷贝一个CRT到其他目录下，就可以不受限制（图形堡垒需要2008及以上的操作系统，并且所有图形堡垒CRT的目录相同）。

组策略：计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙，右侧点“windows防火墙属性”

域配置文件、专属配置文件、公用配置文件，三个地方的防火墙状态，选择“启用（推荐）”

配置这项之前，需要确保图形堡垒已经开启了防火墙，并且配置了入站策略，否则，开启防火墙，可能会导致客户端无法连接图形堡垒的端口，影响图形堡垒的正常使用

组策略：计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙→出站策略，右键新建规则，选择自定义，点下一步

设置CRT程序路径，点下一步

协议类型选择“TCP”,远程端口选择“特定端口”，设置除了字符堡垒的端口之外的其它端口，比如字符堡垒端口为TCP2200，那么远程端口则填“0-2199,2201-65535”，点下一步

规则应用IP按默认的选择“任何IP地址”，点下一步

操作方式按默认“阻止连接”，点下一步

按默认方式三个地方都应用规则，点下一步

起个名字，比如permitTCP2200，点完成

步骤和前面差不多，只是这次设定的是IP地址范围，但是需要设置两个规则，比如字符堡垒的地址为10.1.1.1~10.1.1.10，那么设置两个规则，第一个规则地址范围为0.0.0.0~10.1.1.0，第二个规则地址范围为10.1.1.11~255.255.255.255

下面以创建10.1.1.1前面的ip地址范围规则为例，说明步骤：

组策略：计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙→出站策略，右键新建规则，选择自定义，点下一步

设置CRT程序路径，点下一步

端口和协议，按默认，任何协议，点下一步

本地IP为“任何IP”，目标IP选择“下列IP”,点右侧的添加

选择“此IP地址范围”，输入从0.0.0.0到10.1.1.0，点确定，返回

点下一步，操作方式按默认“阻止连接”，点下一步

按默认方式三个地方都应用规则，点下一步

起个名字，比如before10.1.1.1，点完成

1.如果要求松一点，第二步和第三步，可以只选择其中一个

2.windows防火墙规则优先级不是按规则顺序来执行的

3.不要尝试配置一个允许规则，再配置一个拒绝所有的规则，因为拒绝规则优先。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：[email protected]进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。