限制圖形堡壘發布的SecureCRT只能連接字符堡壘的配置方法

1. 概述

之前發布過防止PLSQL繞行登錄數據庫控制方法，有項目反饋，用戶能通過圖形堡壘發布的CRT，手工連接其他主機，導致繞過字符堡壘的情況。本想按照前面的套路，修改CRT的菜單，結果發現不可行，菜單文件里面寫的是二進制的，根本無法對應。經過測試，可以通過windows防火墻出站策略控制指定目錄下CRT只連接指定IP的指定端口（比如只連字符堡壘的端口），如果項目組測試時需要用CRT手工連接其他IP和端口，只需拷貝一個CRT到其他目錄下，就可以不受限制（圖形堡壘需要2008及以上的操作系統，并且所有圖形堡壘CRT的目錄相同）。

2. 操作步驟

2.1. 通過域組策略強制圖形堡壘開啟防火墻

組策略：計算機配置→策略→Windows 設置→安全設置→高級安全windows防火墻→高級安全windows防火墻，右側點“windows防火墻屬性”

域配置文件、專屬配置文件、公用配置文件，三個地方的防火墻狀態，選擇“啟用（推薦）”

配置這項之前，需要確保圖形堡壘已經開啟了防火墻，并且配置了入站策略，否則，開啟防火墻，可能會導致客戶端無法連接圖形堡壘的端口，影響圖形堡壘的正常使用

2.2. 通過域組策略配置出站策略，限定只允許訪問堡壘端口

組策略：計算機配置→策略→Windows 設置→安全設置→高級安全windows防火墻→高級安全windows防火墻→出站策略，右鍵新建規則，選擇自定義，點下一步

設置CRT程序路徑，點下一步

協議類型選擇“TCP”,遠程端口選擇“特定端口”，設置除了字符堡壘的端口之外的其它端口，比如字符堡壘端口為TCP2200，那么遠程端口則填“0-2199,2201-65535”，點下一步

規則應用IP按默認的選擇“任何IP地址”，點下一步

操作方式按默認“阻止連接”，點下一步

按默認方式三個地方都應用規則，點下一步

起個名字，比如permitTCP2200，點完成

2.3. 通過域組策略配置出站策略，限定只允許訪問堡壘IP

步驟和前面差不多，只是這次設定的是IP地址范圍，但是需要設置兩個規則，比如字符堡壘的地址為10.1.1.1~10.1.1.10，那么設置兩個規則，第一個規則地址范圍為0.0.0.0~10.1.1.0，第二個規則地址范圍為10.1.1.11~255.255.255.255

下面以創建10.1.1.1前面的ip地址范圍規則為例，說明步驟：

組策略：計算機配置→策略→Windows 設置→安全設置→高級安全windows防火墻→高級安全windows防火墻→出站策略，右鍵新建規則，選擇自定義，點下一步

設置CRT程序路徑，點下一步

端口和協議，按默認，任何協議，點下一步

本地IP為“任何IP”，目標IP選擇“下列IP”,點右側的添加

選擇“此IP地址范圍”，輸入從0.0.0.0到10.1.1.0，點確定，返回

點下一步，操作方式按默認“阻止連接”，點下一步

按默認方式三個地方都應用規則，點下一步

起個名字，比如before10.1.1.1，點完成

3. 備注：

1.如果要求松一點，第二步和第三步，可以只選擇其中一個

2.windows防火墻規則優先級不是按規則順序來執行的

3.不要嘗試配置一個允許規則，再配置一個拒絕所有的規則，因為拒絕規則優先。