最近一個專案用到了Remoting，據說是出於安全性的考慮。但是在開發上的效率還是比較低的，也是比較複雜的。另外還有一個安全性的問題，就是Remoting所在的機器是可以直接訪問DB的，而App Server是隻能通過Remoting對DB進行操作的，換句話就是隻允許Remoting所在的機器，其他機器是無法直接訪問DB的。

那就需要在Server上進行配置，雖然用Firewall是比較方便的，但是我記得以前看到過一篇文章上曾提到Windows自帶的IPSec也可以辦到的。於是馬上搜索，但是比較遺憾的是搜出來的文章大多都沒有附圖，即使有也不完整，為了方便自己，我花了點時間配置了一下，並記錄了整個過程，這樣下次再用的時候就可以參考了。

首先，要開啟伺服器上IPSec服務。如下圖所示：


然後，到控制面板的管理工具中開啟本地安全策略。如下圖所示：


在開啟的介面中，選擇“IP安全策略，在本地計算機”，然後點選右鍵，選擇“建立IP安全策略”。如下圖所示：


在IP安全策略嚮導中，建立一個“Port 3306”的策略，因為是MySQL用的。如下如所示：


建立完畢後，回到“IP安全策略，在本地計算機”，選擇“管理IP篩選器表和篩選器操作。如下圖所示：


新建一個IP篩選器，如下圖所示。


首先指定IP的源地址，也就是你允許訪問DB的IP的地址。如下圖所示：


在建立目標地址，也就是Server本身的地址。如下圖所示：


選擇協議型別。如下圖所示：


在選擇協議IP埠，如下圖所示：


接著再新增IP篩選器操作，因為之前已經添加了IP，現在就要新增一個行為去規範IP的操作，是允許還是阻止這個IP訪問Server。如下圖所示：


同樣，首先增加篩選器操作名稱，如下圖所示：


再設定篩選器操作的行為，設定為允許，如下圖所示。


以上這些都設定好之後，就可以建立規則了，也就是一個IP策略對應一個篩選器，你可以建一個IP，允許這個IP策略訪問Server，還可以建立一個IP策略，阻止它訪問Server，這樣就可以實現IP的安全訪問控制了。如下圖所示：


先選擇IP篩選器列表，如下圖所示：


再IP篩選器操作，如下圖所示：



好了，到目前為止，我們已經建立了一個IP策略，這個策略允許192.168.0.3訪問Server的3306埠，然後我們再設定一個IP策略，阻止所有的IP訪問Server的3306埠，這樣Server的3306埠僅供192.168.0.3訪問。如下圖所示：


現在所有的策略都建好了，但還差最後一步，就是使這個策略其作用，也就是要指派，都則是不會起作用的。如下圖所示：



好了，現在安全訪問控制就實現了，雖然比較麻煩，但是無需要額外的Firewall，在某些場合安全程度不高的情況下也可以使用，如果對安全性要求很高，那還是使用專業的Firewall軟硬體。