netsh ipsec 使用方法
在命令行下,通過netsh ipsec static來配置IPSEC安全策略�����。前提是IPSEC服務(wù)已經(jīng)打開��。
一個(gè)IPSEC由一個(gè)或者多個(gè)規(guī)則組成;一個(gè)規(guī)則有一個(gè)IP篩選器列表和一個(gè)相應(yīng)的篩選器操作組成�;這個(gè)篩選器列表和篩選器可以是系統(tǒng)本身所沒有的����,如果沒有則需要自行建立�����,而一個(gè)篩選器又由一個(gè)或多個(gè)篩選器組成����,因此配置IPSEC的時(shí)候必須分步進(jìn)行。規(guī)則由篩選器列表和篩選器操作構(gòu)成��。而且存放在策略里���,策略器由策略器列表來存儲(chǔ),這樣就決定了一個(gè)步驟:建立空的安全策略�,建立篩選器列表�����,建立篩選器操作��,這三步不需要特定的順序�����,建立篩選器需要在空篩選器列表建立成以后���;建立規(guī)則在上述三步驟完成之后。下面開始配置策略的新增����,修改���,刪除、最重要的是激活�;
更詳細(xì)的資料請參考微軟的技術(shù)資源庫:
Netsh Commands for Internet Protocol Security (IPsec)
連接如下:http://technet.microsoft.com/zh-cn/cc725926
備注:注意連接里的 Netsh Commands for Windows Firewall with Advanced Security.連接,他給你的幫助會(huì)更大��;
導(dǎo)出IPsec安全策略:Netsh ipsec static exportpolicy file = d:\ExportSecurity.ipsec
導(dǎo)入IPsec安全策略:Netsh ipsec static importpolicy file = d:\ImportSecurity.ipsec
1���、建立一個(gè)新的策略
1.1首先建立一個(gè)空的安全策略[Michael's安全策略]
Netsh ipsec static add policy name = Michael's安全策略
1.2建立一個(gè)篩選器操作”阻止”
Netsh ipsec static add filteraction name = 阻止 action =block
1.3建立一個(gè)篩選器列表“可訪問的終端列表”
Netsh ipsec static add filterlist name =可訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表
srcaddr=203.86.32.248
dstaddr = me dstport = 3389
description = 部門1訪問 protocol =TCP mirrored = yes
Netsh ipsec static add filter filterlist = 可訪問的終端列表
Srcaddr = 203.86.31.0 srcmask=255.255.255.0
dstaddr = 60.190.145.9 dstport = 0
description = 部門2訪問 protocol =any mirrored = yes
1.4建立策略規(guī)則
Netsh ipsec static add rule name =可訪問的終端策略規(guī)則
Policy = Michael's安全策略
filterlist =可訪問的終端列表
filteraction = 阻止
2���、修改策略
netsh ipsec static set filter filterlist = 可訪問的終端列表
srcaddr = 220.207.31.249
dstaddr = Me dstport=3389 protocol=TCP
3���、刪除策略
netsh ipsec static delete rule name = 可訪問的終端策略規(guī)則 policy = Michael's安全策略
netsh ipsec static delete filterlist name = 可訪問的終端列表
4�����、最最重要的一步是激活��;
netsh ipsec static set policy name = Michael's安全策略 assign = y
以下提供一個(gè)我自己寫的實(shí)例:
復(fù)制代碼 代碼如下:
echo 創(chuàng)建安全策略
Netsh IPsec static add policy name = APU安全策略
echo 創(chuàng)建篩選器是阻止的操作
Netsh IPsec static add filteraction name = 阻止 action = block
echo 創(chuàng)建篩選器是允許的操作
Netsh IPsec static add filteraction name = 允許 action = permit
echo 建立一個(gè)篩選器可以訪問的終端列表
Netsh IPsec static add filterlist name = 可訪問的終端列表
Netsh IPsec static add filter filterlist = 可訪問的終端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
echo 建立一個(gè)篩選器可以訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes
echo 建立策略規(guī)則
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = APU安全策略 filterlist = 可訪問的終端列表 filteraction = 阻止
echo 激活策略
netsh ipsec static set policy name = APU安全策略 assign = y
pause
或者
復(fù)制代碼 代碼如下:
Netsh ipsec static add policy name = 默認(rèn)策略名稱
pause
Netsh ipsec static add filteraction name = 阻止操作 action = block
pause
Netsh ipsec static add filteraction name = 允許操作 action = permit
pause
Netsh ipsec static add filterlist name = 訪問列表
pause
Netsh ipsec static add filterlist name = 阻止列表
pause
Netsh ipsec static add filter filterlist = 訪問列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
pause
Netsh ipsec static add filter filterlist = 訪問列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol = any mirrored = yes
pause
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = 默認(rèn)策略名稱 filterlist = 訪問列表1 filteraction = 阻止操作
pause
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = 默認(rèn)策略名稱 filterlist = 訪問列表2 filteraction = 阻止操作
pause
netsh ipsec static set policy name = 默認(rèn)策略名稱 assign = y
pause
[以下是轉(zhuǎn)載未經(jīng)過測試����,百度上都可以找的到����。]
復(fù)制代碼 代碼如下:
REM =================開始================
netsh ipsec static ^
add policy name=bim
REM 添加2個(gè)動(dòng)作,block和permit
netsh ipsec static ^
add filteraction name=Permit action=permit
netsh ipsec static ^
add filteraction name=Block action=block
REM 首先禁止所有訪問
netsh ipsec static ^
add filterlist name=AllAccess
netsh ipsec static ^
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any
netsh ipsec static ^
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block
REM 開放某些IP無限制訪問
netsh ipsec static ^
add filterlist name=UnLimitedIP
netsh ipsec static ^
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me
netsh ipsec static ^
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit
REM 開放某些端口
netsh ipsec static ^
add filterlist name=OpenSomePort
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static ^
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit
REM 開放某些ip可以訪問某些端口
netsh ipsec static ^
add filterlist name=SomeIPSomePort
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP
netsh ipsec static ^
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit
前言:
IPSec的全稱是Internet Protocol Security��,翻譯成中文就是Internet協(xié)議安全性��。它的作用主要有兩個(gè):一個(gè)是保護(hù) IP 數(shù)據(jù)包的內(nèi)容��,另外一點(diǎn)就是通過數(shù)據(jù)包篩選并實(shí)施受信任通訊來防御網(wǎng)絡(luò)攻擊。這對于我們當(dāng)有一些重要的數(shù)據(jù)在傳輸?shù)倪^程中需要加以保護(hù)或者防止監(jiān)聽來說無疑是一個(gè)好消息�,因?yàn)閃indows 2000已經(jīng)內(nèi)置了這個(gè)功能���,我們不再需要借助其他的工具以實(shí)現(xiàn)這個(gè)目的了。
由于是在IP層進(jìn)行對數(shù)據(jù)的對稱加密����,封裝的是整個(gè)的IP數(shù)據(jù)包����,所以不需要為 TCP/IP 協(xié)議組中的每個(gè)協(xié)議設(shè)置單獨(dú)的安全性,因?yàn)閼?yīng)用程序使用 TCP/IP 來將數(shù)據(jù)傳遞到 IP 協(xié)議層�����,并在這里進(jìn)行保護(hù)。相應(yīng)的IPSec配置相對復(fù)雜���,但是對于應(yīng)用程序來說是透明的,因此不要求應(yīng)用程序必須支持����。下面分幾個(gè)部分對IPSec的概念��、工作過程和實(shí)踐應(yīng)用等幾個(gè)方面加以闡述:
一����、 IPSec的工作的過程:
兩臺計(jì)算機(jī)在通訊的時(shí)候�,如果已經(jīng)設(shè)置好IPSec的策略,主機(jī)在通訊的時(shí)候會(huì)檢查這個(gè)策略����,策略在應(yīng)用到主機(jī)的時(shí)候會(huì)有一個(gè)協(xié)商的過程�,這個(gè)過程通過Security Association來實(shí)現(xiàn)���。協(xié)商后根據(jù)Policy的配置,兩臺計(jì)算機(jī)之間建立一個(gè)加密的連接�,數(shù)據(jù)進(jìn)行加密傳輸。驅(qū)動(dòng)程序?qū)⒔饷艿臄?shù)據(jù)包傳輸給TCP/IP的驅(qū)動(dòng)程序�,然后傳輸給接收端的應(yīng)用程序�����。
二�、 進(jìn)入IPSec控制界面:
有兩種方式可以打開���,功能是完全一樣的:
開始-運(yùn)行-管理工具-本地安全策略
MMC-添加/刪除管理單元-添加-IP安全管理策略-確定
三����、 預(yù)定義的策略:
缺省的是沒有啟用IPSec,需要進(jìn)行指派��。我們可以發(fā)現(xiàn)系統(tǒng)已經(jīng)給我們定義了三個(gè)策略����,下面非別進(jìn)行介紹���。
安全服務(wù)器:必須使用IPSec,如果對方不使用IPSec�����,則通訊無法完成���。用于始終需要安全通訊的計(jì)算機(jī)�。
客戶端:功能是缺省在通訊過程中不使用IPSec,如果對方要求IPSec�,它也可以使用IPSec。用于在大部分時(shí)間不能保證通訊的計(jì)算機(jī)�����。
服務(wù)器:功能是缺省使用IPSec����,但是對方如果不支持IPSec��,也可以不使用IPSec�。用于在大部分時(shí)間能保證通訊的計(jì)算機(jī)。
策略可以在單臺計(jì)算機(jī)上進(jìn)行指派�,也可以在組策略上批量進(jìn)行指派�。值得注意的是為了達(dá)到可以通過協(xié)商后進(jìn)行通訊,所以通訊的兩端都需要設(shè)置同樣的策略并加以指派�����。
四、 IPSec的工作方式:
傳送模式(計(jì)算機(jī)之間安全性配置):保護(hù)兩個(gè)主機(jī)之間的通訊,是默認(rèn)的IPSec模式���。傳送模式只支持Windows2000操作系統(tǒng)��,提供點(diǎn)對點(diǎn)的安全性。
隧道模式(網(wǎng)絡(luò)之間安全性配置):封裝�����、發(fā)送和拆封過程稱之為“隧道”。一般實(shí)現(xiàn)方法是在兩個(gè)路由器上完成的���。在路由器兩端配置使用IPSec,保護(hù)兩個(gè)路由器之間的通訊���。主要用于廣域網(wǎng)上�����,不提供各個(gè)網(wǎng)絡(luò)內(nèi)部的安全性。
五、 IPSec的身份驗(yàn)證方法:
Kerberos V5:(默認(rèn))如果是在一個(gè)域中的成員���,又是Kerberos V5協(xié)議的客戶機(jī)��,選擇這一項(xiàng)�。比如一個(gè)域中的Windows 2000的計(jì)算機(jī)。
證書:需要共同配置信任的CA�。
預(yù)共享密鑰:雙方在設(shè)置策略的時(shí)候使用一段共同協(xié)商好的密鑰���。
以上三種方法都可以作為身份驗(yàn)證的方法���,一般在日常工作當(dāng)中����,如果是域中的Windows 2000的計(jì)算機(jī)之間就采用Kerberos的認(rèn)證方式,由于國內(nèi)CA用的實(shí)在不多����,一般其他情況下可以采用第三種方式,雙方協(xié)商一段密鑰���,這個(gè)在后面的例子二中還會(huì)涉及。
六、 IPSec的加密模式:
身份驗(yàn)證加密技術(shù):
SNA
MD5
數(shù)據(jù)包加密技術(shù):
40-bit DES
56-bit DES
3DES:最安全的加密方法��,相應(yīng)的也會(huì)消耗更多的系統(tǒng)資源��。
以上的概念性的東西大家可以查閱相關(guān)資料�����,這里就不多多講述了����。
七��、 應(yīng)用:
以上概念性的東西說了很多,下面正式進(jìn)入實(shí)戰(zhàn)�����,將通過兩個(gè)例子把IPSec的兩方面的功能進(jìn)行說明。
1�����、 保護(hù)IP數(shù)據(jù)包的內(nèi)容:為了保護(hù)兩個(gè)主機(jī)之間的通訊信息的安全性�,我們將利用IPsec的在兩臺計(jì)算機(jī)之間建立一個(gè)安全連接。采用預(yù)共享密鑰方式����,并強(qiáng)制使用IPSec進(jìn)行通訊加密���。例子中有兩臺計(jì)算機(jī)�����,第一臺計(jì)算機(jī)IP為192.168.0.1�,第二臺計(jì)算機(jī)IP為192.168.0.2,如果沒有特殊說明,操作是在第一臺計(jì)算機(jī)上進(jìn)行�����。
(1)�����、進(jìn)入IPSec控制界面,右鍵點(diǎn)擊“安全服務(wù)器”���,選中屬性(系統(tǒng)已經(jīng)內(nèi)置了三條規(guī)則���,大家可以自己詳細(xì)的看一下作用,為了演示策略的添加過程我們采用自己添加的方式)。點(diǎn)擊“添加”按鈕����。
(2)��、進(jìn)入安全規(guī)則向?qū)Вc(diǎn)擊“下一步”按鈕��。
(3)、根據(jù)實(shí)際情況�����,我們是實(shí)現(xiàn)兩臺主機(jī)之間的安全通訊�,不是網(wǎng)絡(luò)之間的���,所以選擇“此規(guī)則不指定隧道”�����,因此我們將采用傳送模式。點(diǎn)擊“下一步”按鈕。
(4)����、進(jìn)入了選擇網(wǎng)絡(luò)類型的界面,可以選擇的有三種方式��,概念應(yīng)該很好理解了����,我們選擇“所有網(wǎng)絡(luò)連接”��,點(diǎn)擊“下一步”按鈕�����。
(5)��、進(jìn)入了身份驗(yàn)證方法的界面�,三種驗(yàn)證方法在上文中已經(jīng)介紹�,我們選擇第三種“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)”�,然后在對話框中輸入我們協(xié)商好的密鑰,比如“hello”。點(diǎn)擊“下一步”按鈕�。
(6)、進(jìn)入了“IP篩選器列表”界面����,由于我們是要保護(hù)全部的通訊����,所有選擇“所有IP通訊”,當(dāng)然也可以自己添加新的篩選器列表��,這部分內(nèi)容在第二個(gè)例子中會(huì)提到���,點(diǎn)擊“下一步”按鈕。
(7)�、進(jìn)入“篩選器操作”界面����,根據(jù)我們前面提到的要求��,我們選擇要求安全設(shè)置,這里的篩選器操作也是可以自己添加的��,例子二中也會(huì)提到,點(diǎn)擊“下一步”按鈕��。
(8)����、至此安全規(guī)則創(chuàng)建完畢����,我們點(diǎn)擊“完成”。
(9)、會(huì)到開始的端口��,我們會(huì)發(fā)現(xiàn)已經(jīng)增加了我們新增加的安全規(guī)則。除了選中我們自己創(chuàng)建的規(guī)則以外�����,我們把其他默認(rèn)規(guī)則的對勾點(diǎn)無����。
(10)、最后���,也是非常重要的一點(diǎn)����,我們要對我們創(chuàng)建的策略進(jìn)行指派�,否則策略不會(huì)自己生效�����,點(diǎn)擊“安全服務(wù)器”右鍵����,點(diǎn)擊“指派”�����。
(11)��、這個(gè)時(shí)候我們打開一個(gè)窗口��,開始使用Ping命令,檢查我們的通訊狀況��。例子中的第二臺計(jì)算機(jī)的IP地址為192.168.0.2�����,我們執(zhí)行Ping 192.168.0.2 –t,會(huì)發(fā)現(xiàn)一直在“協(xié)商IP安全性”��,這個(gè)是什么原因呢?因?yàn)檫@個(gè)時(shí)候我們只是在第一臺計(jì)算機(jī)上面設(shè)置了IPsec策略�,另一端并沒有做相應(yīng)的設(shè)置�����,協(xié)商無法成功��,所以這個(gè)時(shí)候我們必須到另外一端的計(jì)算機(jī)進(jìn)行同樣的設(shè)置并進(jìn)行指派。
(12)、192.168.0.2的計(jì)算機(jī)上設(shè)置完畢并進(jìn)行指派以后我們發(fā)現(xiàn)信息發(fā)生了變化�����,協(xié)商IP安全性通過���,我們又接收到了來自192.168.0.2的回應(yīng)。
(13)��、如果我們在這之前打開了IP安全監(jiān)視器�,也就是IPSecmon的話���,我們會(huì)發(fā)現(xiàn)窗口里面會(huì)有相應(yīng)的記錄顯示����。右下角也會(huì)顯示“IP安全設(shè)置已經(jīng)在這臺計(jì)算機(jī)上啟用”�����。
至此���,例子一所要求的目的已經(jīng)達(dá)到����,我們成功的創(chuàng)建了IPSec來保證數(shù)據(jù)的安全性�,這個(gè)時(shí)候其它沒有啟用IPsec的計(jì)算機(jī)如果對這臺計(jì)算機(jī)發(fā)出Ping的命令,將得不到回應(yīng)�,如下圖(我采用的方法是不指派計(jì)算機(jī)192.168.0.1設(shè)置好的IPSec策略):
2�����、 數(shù)據(jù)包篩選:這個(gè)功能對于我們來說也是相當(dāng)有用的�,記得很多網(wǎng)友都在詢問如何關(guān)閉計(jì)算機(jī)的某個(gè)端口或者是如何防止別人Ping我的計(jì)算機(jī)等等之類的問題����,防火墻是一個(gè)解決的方式����,但是需要付出額外的費(fèi)用和資源��?���?縏CP/IP屬性里面的高級選項(xiàng)的篩選可以做到一些���,但是只能夠設(shè)置打開哪些端口����,不能設(shè)置關(guān)閉哪些端口。其實(shí)這個(gè)要求完全可以靠IPSec來實(shí)現(xiàn)���,有的朋友可能要問,那么還防火墻做什么���?前面提到����,和專業(yè)防火墻比起來����,使用Ipsec配置相對來說要麻煩一些����,不適合一般用戶使用��,另外目前的防火墻已經(jīng)集成了很多其他的功能�����,還有就是硬件的防火墻會(huì)消耗更少的系統(tǒng)資源�。
下面的例子會(huì)介紹如果使用IPSec進(jìn)行數(shù)據(jù)包篩選�,關(guān)閉ICMP���,也就是大家很關(guān)心的如何關(guān)閉Ping的回應(yīng)信息,這個(gè)其實(shí)用到的是ICMP(8����,0),這里不詳細(xì)介紹了ICMP了�,正式進(jìn)入實(shí)踐操作(例子有兩臺計(jì)算機(jī)�,第一臺計(jì)算機(jī)IP為192.168.0.1���,第二臺計(jì)算機(jī)IP為192.168.0.2���,如果沒有特殊說明����,操作是在第二臺計(jì)算機(jī)上進(jìn)行。):
(1)����、進(jìn)入IPSec控制界面����,由于我們需要的篩選策略和操作在系統(tǒng)內(nèi)置的里面沒有合適的�,所以下面我們進(jìn)行自己添加���。首先右鍵點(diǎn)擊“IP安全策略”����,選中“管理IP篩選器表和篩選器操作”。
(2)�����、選中管理IP篩選器列表��,點(diǎn)擊“添加”按鈕��。
(3)����、為我們的IP篩選器列表起一個(gè)名字����,比如“ICMP”�,也可以在“描述”信息里面輸入相應(yīng)的描述信息�����。點(diǎn)擊“添加”按鈕����。
(4)�、進(jìn)入“IP篩選器向?qū)А保c(diǎn)擊“下一步”按鈕���。
(5)�、選擇“源地址”信息,我們選擇“我的IP地址”��,也就是代表的本機(jī)���,192.168.0.2��。點(diǎn)擊“下一步”按鈕。
(6)���、選擇“目標(biāo)地址”信息����,我們選擇“任何IP地址”���,如果大家配置過防火墻,大家會(huì)發(fā)現(xiàn)這個(gè)步驟和防火墻的配置是完全一樣的���。點(diǎn)擊“下一步”按鈕���。
(7)�����、選擇“協(xié)議類型”�����,我們選擇“ICMP”�����。這個(gè)時(shí)候大家會(huì)發(fā)現(xiàn)有很多協(xié)議類型供大家選擇����,也包括了TCP�����、UDP等等�。點(diǎn)擊下一步����。
(8)、這個(gè)時(shí)候就完成了IP篩選器的建立���,可以點(diǎn)擊“完成”按鈕。這個(gè)時(shí)候值得注意的是����,由于我選擇的是ICMP,但是假如這個(gè)時(shí)候我選擇的是TCP�����,后面還會(huì)出現(xiàn)端口的選擇��,設(shè)置進(jìn)站和出站的端口����。
(9)、接下來要進(jìn)行的是添加一個(gè)符合我們需要的篩選器操作��,這里我們需要的建立一個(gè)阻止的操作。首先我們點(diǎn)擊“添加”按鈕:
(10)�、進(jìn)入了“IP安全篩選器操作向?qū)А保c(diǎn)擊“下一步”按鈕��。
(11)����、我們給這個(gè)操作起一個(gè)名字���,這里我起的是“Deny”��,也可以在描述中加入一些描述信息��。點(diǎn)擊“下一步”按鈕�����。
(12)、選擇操作的行為,我們選擇“阻止”��。點(diǎn)擊“下一步”按鈕。
(13)�����、這樣就完成了“IP安全篩選器操作”的添加工作�,點(diǎn)擊完成�。
(14)��、下面的工作是建立一條新的IP安全策略�����,會(huì)用到以上我們創(chuàng)建的篩選器列表和操作?;氐轿覀兊牡谝徊降奈恢?���,這次點(diǎn)擊“創(chuàng)建IP安全策略”。這個(gè)時(shí)候我們進(jìn)入了“IP安全策略向?qū)А?����,點(diǎn)擊“下一步”按鈕���。
(15)、我們給這個(gè)IP安全策略起一個(gè)名字��,我起的名字叫做“屏蔽ICMP”�����,也可以適當(dāng)加入描述信息��。點(diǎn)擊“下一步”按鈕���。
(16)��、選擇“激活默認(rèn)響應(yīng)規(guī)則”�,點(diǎn)擊“下一步”按鈕�����。
(17)、選擇默認(rèn)值���,點(diǎn)擊“下一步”按鈕。
(18)��、點(diǎn)擊“完成”�����。
(19)���、下面開始對此條策略進(jìn)行配置。點(diǎn)擊“添加”按鈕����。
(20)�、進(jìn)入“創(chuàng)建IP安全規(guī)則向?qū)А?����,點(diǎn)擊“下一步”按鈕�。
(21)��、和例子一中類似����,按照我們的需求����,我們選擇“此規(guī)則不指定隧道”���。點(diǎn)擊“下一步”按鈕。
(22)��、選種“所有網(wǎng)絡(luò)連接”�,點(diǎn)擊“下一步”按鈕。
(23)��、選擇“默認(rèn)值”���,點(diǎn)擊“下一步”按鈕��。
(24)���、選種我們新建立的篩選器“ICMP”��,點(diǎn)擊“下一步”按鈕����。
(25)�、選擇我們新建立的操作“deny”�,點(diǎn)擊“下一步”按鈕。
(26)����、至此����,我們完成了整個(gè)設(shè)置過程���。點(diǎn)擊完成結(jié)束�����。
(27)����、最后還需要提醒大家的就是需要對我們新建立的策略進(jìn)行指派�����。
(28)�、下面的圖表示了在指派我們這條策略前后的變化��,在192.168.0.2這臺計(jì)算機(jī)指派了此條規(guī)則以后��,我們從192.168.0.1這臺計(jì)算機(jī)將得不到來自192.168.0.2這臺計(jì)算機(jī)的ICMP的回應(yīng)����。
以上我們通過三部分的工作完成了數(shù)據(jù)包篩選的操作�,分別是創(chuàng)建IP篩選器列表和IP篩選器操作,還有就是創(chuàng)建IP安全策略����。不過不是每一條規(guī)則都需要這么多的操作�����,比如IP篩選器操作�����,下次再有屏蔽某個(gè)端口操作的時(shí)候就可以直接使用這個(gè)“deny”操作了�。
八、 結(jié)束語
通過上面的介紹�����,大家可以發(fā)現(xiàn)使用IPSec真的可以做不少事情����,假如我們知道了其他服務(wù)的端口,比如終端服務(wù)、FTP服務(wù)等等���,都可以用IPSec把數(shù)據(jù)通訊保護(hù)起來?���,F(xiàn)在大家不妨盡快去做這個(gè)事情�,誰知道現(xiàn)在有沒有在監(jiān)聽你的信息呢���?
如果在使用中遇到問題,大家不妨嘗試從以下幾個(gè)方面去進(jìn)行排錯(cuò)��。檢查兩端是否都已經(jīng)相應(yīng)的做了IPSec策略設(shè)置��;檢查策略是否已經(jīng)被指派�����;檢查系統(tǒng)和安全日志相關(guān)記錄�����;利用監(jiān)視器�,也就是命令行方式下的IPSecmon�。最后祝大家使用順利����,充分發(fā)揮Windows 2000的這個(gè)好工具的功能���!
------------------------------------------
KUKA:ipsec是個(gè)很有用的東西���,許多做服務(wù)器托管的朋友常為安全問題煩惱,其實(shí)只要善用IPSEC���,NTFS權(quán)限等等完全可以在一定程度上解決大部分的安全問題的
在實(shí)際使用中�����,我們都是將規(guī)則導(dǎo)出,為ipsec擴(kuò)展名,然后導(dǎo)入即可����。
復(fù)制代碼 代碼如下:
:: 導(dǎo)入常來網(wǎng)專用IP安全策略
netsh ipsec static importpolicy ThecSafe.ipsec
netsh ipsec static set policy name="常來網(wǎng)專用安全策略" assign=y
您可能感興趣的文章:- 服務(wù)器安全之手把手教你如何做IP安全策略
- win2008 IP安全策略關(guān)閉端口��、禁止ping��、修改遠(yuǎn)程連接3389端口���、開放指定端口
- win2008 R2設(shè)置IP安全策略后在服務(wù)器內(nèi)打開網(wǎng)站很慢或無法訪問外部網(wǎng)站的原因
- win2008 IP安全策略下配置一個(gè)IP段的寫法
- Windows Server 2008 R2通過IP安全策略阻止某個(gè)IP訪問的設(shè)置方法
- Win2003下通過IP安全策略限制udp-flood發(fā)包的批處理代碼
- win2003服務(wù)器安全設(shè)置之 IP安全策略
- win2003 ip安全策略 限制某個(gè)IP或IP段訪問服務(wù)器指定端口圖文說明
- Win2003設(shè)置IP安全策略批處理腳本
- 用批處理設(shè)置IP安全策略的代碼
- Ip安全策略批處理腳本及注釋(netsh)
- IP安全策略限制IP進(jìn)入遠(yuǎn)程桌面設(shè)置方法
- win2003 創(chuàng)建 IP安全策略來屏蔽端口的圖文教程
- 服務(wù)器安全策略 IP安全策略設(shè)置方法
- IP安全策略 關(guān)閉端口說明
- 通過IP安全策略 WIN2003禁止PING
- 用windows 2000的IP安全策略封閉端口的辦法
- 使用netsh命令來管理IP安全策略(詳細(xì)介紹)
