选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2:

   点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

    我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4:


4

  我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

5

    接着回到图3界面,单击"管理筛选器操作"页栏,单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步,
在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

6

   好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7:

7

    这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8:(大家注意到没有,傍边的"添加""编辑"等按钮,其实我们可以在此向导中就可以一次完成建立筛选器及筛选器操作等工作)图8

8

    我们选择建立的"阻止3389"的操作,单击"下一步",就完成了安全规则的建立.

现在我们就已经有了一个基于在3389端口阻止所有IP连接的安全策略了.现在,你在图1的界面上,在"3389过滤"策略上单击右键,再单击"指派",这样,系统就开始应用安全策略了.所有连接3389的TCP请求都将被阻止.

现在所有的连接都被阻止了,管理员如何连接呢? 别急我们再来建立一个允许管理员登陆的策略.

    我们回到图3的界面,重复建立筛选器的步骤,建立一个名为"3389筛选器2"的筛选器,别的设置和"3389筛选器1"的一样,只是在选择源地址时要选择"一个特定的IP地址",这里比如我的管理员工作站IP是192.168.0.2,如图9:

9

    然后再重复建立筛选器操作的步骤,建立一个名为"允许3389"的操作,和上面不同的是在选择动作时使用"许可".

    再回到上面的(***)的地方,重复建立规则的步骤,用"3389筛选器2"和"允许3389"建立一个新的规则,完成后在策略"3389过滤"属性中显示如下:如图10:

10

    至此,我们已经完成了在3389端口上的IP策略!此时,只有来自192.168.0.2的IP地址将被许可连接,其他的IP地址通讯都将被阻塞.(IP策略需要指派后才可生效,不需要重起,在更改设置时也不用停止后再指派.指派相应的IP策略后,此IP策略名上有个小绿点)

**********************************************
关于动态IP连接的问题

    对于拨号上网或动态IP地址的管理员,我想应该可以在允许连接源地址中选择"一个特定的子网"来实现.我没有环境,所以测试不了.只有猜了.见谅!

    另外,是不是可以尝试使用一下第三方工具,如winrouter.设置它关掉任何对3389的连接,当管理员需要连接3389时,使用本地winrouter远程控制服务器winrouter打开对自己当前IP的允许连接,就可以上3389了.管理完毕后,再将3389关掉,也可以从一定程度上加强系统安全.
**********************************************