Blog

Hướng Dẫn Giới Hạn IP Truy Cập Windows VPS [Chi Tiết Nhất 2025]

Tăng cường bảo mật Windows VPS bằng cách chỉ cho phép những IP đáng tin cậy truy cập từ xa. Đây là cách bạn có thể tham khảo để bảo vệ dữ liệu doanh nghiệp. GDATA sẽ hướng dẫn từng bước, dễ áp dụng cho cả người mới. Mời bạn đọc cùng tìm hiểu ngay trong bài viết dưới đây nhé!

Tại sao cần giới hạn IP truy cập Windows VPS?

Khi bạn thuê Windows VPS, hệ thống thường mặc định mở cổng Remote Desktop (RDP – port 3389) cho toàn bộ internet. Điều này khiến VPS dễ bị:

  • Tấn công brute-force
  • Quét cổng trái phép
  • Rò rỉ dữ liệu do truy cập trái phép

Giới hạn IP nghĩa là bạn chỉ cho phép các địa chỉ IP cụ thể được phép đăng nhập từ xa. Từ đó giúp giảm thiểu rủi ro đến mức tối thiểu.

Hướng dẫn giới hạn IP truy cập chi tiết

Dưới đây là những cách đơn giản để bạn có thể giới hạn IP truy cập:

Cách 1: Giới hạn IP bằng Windows Firewall

1. Đăng nhập vào Windows VPS bằng Remote Desktop.

Bạn có thể tham khảo thêm tại: Windows VPS và tất tần tật những điều cần biết

2. Mở công cụ Windows Defender Firewall with Advanced Security:

  • Nhấn Windows + R → nhập wf.msc → Enter.

3. Vào mục Inbound Rules.

4. Tìm dòng tên là Remote Desktop – User Mode (TCP-In).

5. Nhấp chuột phải → chọn Properties (Thuộc tính).

6. Chuyển sang tab Scope (Phạm vi).

7. Tại mục Remote IP address, chọn:

  • These IP addresses
  • Nhấn Add, nhập IP bạn muốn cho phép truy cập (ví dụ: 113.190.82.50)
  • Có thể nhập nhiều IP hoặc dải IP (CIDR) nếu cần.

8. Nhấn OK để lưu.

🔒 Sau bước này, chỉ các IP được thêm mới có thể truy cập VPS. Tất cả IP khác sẽ bị chặn.

Cách 2: Giới hạn IP truy cập bằng thiết lập qua Group Policy

Phương pháp này áp dụng với hệ thống domain hoặc cần quản lý tập trung nhiều VPS.

1. Nhấn Windows + R, nhập gpedit.msc → Enter.

2. Vào:

Computer Configuration → Windows Settings → Security Settings → IP Security Policies

3. Tạo IP Security Policy mới:

  • Đặt tên như “Giới hạn RDP theo IP”
  • Tạo rule chỉ cho phép truy cập từ IP cụ thể
  • Tất cả IP khác bị từ chối

⚠️ Lưu ý: Nếu cấu hình sai, bạn có thể mất quyền truy cập. Chỉ áp dụng nếu bạn có quyền quản trị và hiểu rõ Windows Server. Bạn có thể liên hệ với GDATA để được hỗ trợ bởi đội ngũ chuyên môn giàu kinh nghiệm!

Cách 3: Thay đổi listener của RDP

Giới hạn truy cập IP VPS Windows

Cách này ít được khuyến nghị vì độ phức tạp cao. Nên nếu doanh nghiệp của bạn có đội ngũ kỹ thuật cao/ chuyên gia hệ thống, bạn có thể tin tưởng thực hiện phương pháp này.

1. Mở Registry Editor (regedit.exe)

2. Truy cập:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Bạn có thể cấu hình giới hạn IP trực tiếp tại đây. Nhưng thường cần kết hợp với công cụ tường lửa nâng cao (WFP, Comodo, etc.)

Mẹo nâng cao bảo mật Windows VPS

Bạn cũng có thể tham khảo nội dung dưới đây là bảo mật Windows VPS:

Thay đổi port mặc định 3389 → ví dụ: 23233 để tránh bị quét cổng tự động.

Bật xác thực 2 lớp (2FA) nếu có thể.

Không dùng tài khoản “Administrator” mặc định, hãy tạo tài khoản riêng.

 Đọc thêm: VPS là gì? Tất tần tật những điều phải biết về VPS

Những điều bạn chưa biết về IP truy cập Windows VPS

Dưới đây là những nội dung mà ít ai nói cho bạn. Bạn hãy dành thời gian để đọc một cách chậm rãi để hiểu đúng nhất nhé!

1. Tạo rule tự động mở/khóa IP qua script (Dynamic IP Firewall Rules)

Nếu bạn có địa chỉ IP thay đổi thường xuyên (Dynamic IP), bạn có thể:

  • Tự động cập nhật firewall rule mỗi khi IP thay đổi
  • Kết hợp cùng Dynamic DNS hoặc PowerShell script

Ví dụ script cập nhật firewall theo IP mới:

$allowedIP = (Invoke-WebRequest "https://api.ipify.org").Content
$ruleName = "Allow My Dynamic IP"
# Remove old rule (if exists)
Remove-NetFirewallRule -DisplayName $ruleName -ErrorAction SilentlyContinue
# Add new rule
New-NetFirewallRule -DisplayName $ruleName -Direction Inbound -Action Allow `
     -RemoteAddress $allowedIP -Protocol TCP -LocalPort 3389

🔁 Có thể lên lịch chạy script này mỗi 30 phút bằng Task Scheduler.

2. Tích hợp giới hạn IP cấp hạ tầng (Hypervisor / Cloud Level)

Hầu hết người dùng chỉ dùng firewall trong Windows. Nhưng việc giới hạn IP ở cấp host (Hyper-V, VMware, cloud provider) có độ an toàn cao hơn nhiều.

Nếu nhà cung cấp hỗ trợ cloud firewall, bạn có thể:

  • Chặn toàn bộ traffic ngoại trừ IP được chỉ định
  • Cho phép port 3389 chỉ cho IP whitelist
  • Tạo rule dạng:

ALLOW TCP FROM 113.190.80.25 TO 3389

DENY ALL TO 3389

Ưu điểm: RDP bị chặn trước khi tới Windows → chống brute-force triệt để, nhẹ tài nguyên hơn.

Xem thêm: Chi tiết về VPS Linux 2025 

3. Sử dụng IPsec Policies để mã hóa & giới hạn IP nâng cao

IPsec không chỉ mã hóa traffic nội bộ mà còn có thể giới hạn IP truy cập dịch vụ cụ thể. Ví dụ:Cho phép IP 203.113.5.2 truy cập RDP, nhưng IP 10.10.1.2 chỉ được truy cập SMB.

👉 Đây là tính năng nội bộ của Windows, ít người biết đến vì:

  • Cấu hình phức tạp
  • Yêu cầu hiểu sâu về network policies

Cách dùng:

1. Mở secpol.msc

2. Vào IP Security Policies → Tạo policy mới

3. Gắn filter với IP source + port 3389 + action = Permit

4. Mặc định Deny all others

Tuy nhiên, để đảm bảo an toàn cho dữ liệu và đảm bảo không có sự cố xảy ra. Bạn hãy liên hệ với GDATA để được hỗ trợ nhanh nhất nhé!

4. Giới hạn theo GEO IP (quốc gia) bằng công cụ bên ngoài

Windows Firewall không hỗ trợ lọc theo địa lý. Nhưng bạn có thể:

  • Cài phần mềm như PeerBlock, GlassWire, hoặc IPBan Pro
  • Sử dụng IP blacklist của các nước không mong muốn (Trung Quốc, Nga…)

💡 Tích hợp GEO IP:

  • Chặn tất cả IP không phải từ Việt Nam → giảm tấn công tự động một cách đáng kể.

5. Sử dụng HoneyPort để bẫy & log kẻ tấn công

Đây là một kỹ thuật cực kỳ mới:

  • Mở một port giả (ví dụ: 33389)
  • Khi có ai đó scan hoặc kết nối, HoneyPort tự động chặn IP đó vĩnh viễn

🔧 Công cụ: HoneyPort for Windows

6. Log và theo dõi truy cập IP bằng Event Viewer + Task Scheduler

Không chỉ giới hạn IP, bạn nên:

  • Log toàn bộ các IP đã đăng nhập / cố gắng đăng nhập
  • Tự động gửi email cảnh báo nếu có IP bất thường

Hướng dẫn:

1. Mở Event ViewerSecurity Logs → Lọc Event ID 4625 (failed login)

2. Tạo Task Scheduler khi có event:

  • Gửi email cảnh báo
  • Gọi script chặn IP
  • Ghi lại vào log file để điều tra

7. Kết hợp với Windows Defender Firewall Logging

Windows có hỗ trợ logging cho các rule bị block nhưng không bật mặc định. Khi bật tính năng này, bạn sẽ kiểm tra được ai đang cố truy cập VPS trái phép.

Cách bật:

  • Mở Windows Firewall with Advanced Security
  • Vào tab “Monitoring”
  • Bật Logging Dropped Packets
  • File log: C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Câu hỏi thường gặp (FAQ)

❓ Nếu tôi chặn nhầm IP của chính mình thì sao?

→ Bạn sẽ bị mất quyền truy cập qua RDP. Khi đó cần truy cập lại thông qua KVM Console do nhà cung cấp VPS cấp để sửa lỗi firewall.

❓ Tôi không có IP tĩnh thì làm sao?

→ Bạn có thể:

  • Dùng Dynamic DNS (No-IP, DynDNS)
  • Cho phép dải IP của nhà mạng (ví dụ: 113.190.82.0/24)
  • Để an toàn nhất, bạn có thể nhắn tin trực tiếp với GDATA thông qua thông tin liên hệ bên dưới để được hỗ trợ.

❓ Chỉ chặn IP có đủ bảo mật chưa?

→ Không. Hãy kết hợp nhiều lớp bảo mật khác nhau:

  • Giới hạn IP
  • Đổi port RDP
  • Sử dụng firewall ngoài (Cloud firewall hoặc phần mềm)
  • Giới hạn tài khoản RDP được phép truy cập

Kết luận

Giới hạn IP truy cập là một trong những bước bảo mật cơ bản nhưng cực kỳ hiệu quả đối với người dùng Windows VPS. Dữ liệu là “mạng sống” của doanh nghiệp. Đừng để doanh nghiệp của bạn rơi vào guồn quay “tấn công mạng” nguy hiểm. GDATA luôn đồng hành cùng mọi doanh nghiệp để phát triển vững mạnh! <Nhập mã “GDATAW” để kiểm tra khuyến mãi mới nhất>

GDATA – Thuê VPS toàn diện cho doanh nghiệp!

👉 Xem bảng giá tại: Bảng giá thuê VPS giá rẻ mới nhất [MỚI CẬP NHẬT] 

                                 Cloud VPS Giá Rẻ (Tổng hợp những chương trình khuyến mãi mới nhất của GDATA)/  Giá VPS 

  • 16/06/2025
  • 1847 Lượt xem
avatar_author

Tác giả: Cao Thùy Dung

Tôi là Cao Thùy Dung, với hơn 4 năm kinh nghiệm phát triển nội dung số. Trong đó, với hơn 1 năm kinh nghiệm trong lĩnh vực công nghệ thông tin, đặc biệt chuyên sâu về các chủ đề Cloud VPS, Cloud Server, bảo mật mạng, chuyển đổi số và hạ tầng IT.Tôi mong muốn các bài viết khoa học – dễ hiểu – thực tiễn sẽ giúp bạn đọc ở mọi trình độ dễ dàng tiếp cận kiến thức kỹ thuật phức tạp.

  1. Đăng ký dùng thử
  2. Zalo chat
  3. Gọi miễn phí