一、先关闭 Windows 默认的 RDP 允许所有人的规则
因为默认的 RDP 规则是允许所有公网访问的(尤其你开了 DMZ),必须先禁用。
-
按:
Win + R
输入:回车 → 打开 Windows 防火墙 高级安全
-
左侧点击:
入站规则 -
在中间列表找到:
-
远程桌面 - 用户模式 (TCP-In)
-
远程桌面 - 用户模式 (UDP-In)
-
对这两个都:
-
右键
-
选择 禁用规则
(必须禁用,否则外网所有 IP 都能连进来)
二、创建一个新的白名单规则(只允许指定 IP 访问 3389)
-
在右侧点击:
新建规则… -
规则类型选择:
端口
→ 下一步 -
协议和端口:
-
TCP
-
特定本地端口:3389
→ 下一步
-
操作:
-
选择 允许连接
→ 下一步
-
配置文件:
-
域(Domain)
-
专用(Private)
-
公用(Public)
全部勾选 → 下一步
-
名称:
点击 完成
现在规则建立好了,下一步是限制白名单 IP。
三、编辑规则,加白名单 IP(最关键步骤)
-
在入站规则列表找到你刚才创建的
RDP-WhiteList -
右键 → 属性
-
选择顶部的选项卡:
作用域(Scope)
你会看到两块:
A) 本地 IP 地址
保持默认(任何 IP 地址)即可
不用改
B) 远程 IP 地址
这里必须设置白名单
-
选:
这些 IP 地址 -
点右边的 添加…
-
输入第一个 IP:
点 确定
-
再点 添加…
输入第二个:
点 确定
完成后 → 点 应用 → 确定
现在只有这两个 IP 能访问 3389
其他所有公网 IP(黑客、高危扫描)全部拒绝。
四、确认 UDP 规则已禁用
回到入站规则列表:
-
远程桌面 - 用户模式 (UDP-In)
必须是 已禁用
(否则部分 RDP 连接可能绕过你的白名单限制)
五、让你的同事测试连接
你的同事(对应 IP 必须是你加入的):
打开远程桌面 → 输入:
能正常进入 RDP。
任何其他公网 IP 会收到:
这是正确效果。
