收藏
下载资源

命令行的方式指派(启动)或不指派(停止)一个IP安全策略

上传人:宝路 文档编号:21256088 上传时间:2017-11-23 格式:DOCX 页数:20 大小:37.50KB
返回 下载 相关 举报
命令行的方式指派(启动)或不指派(停止)一个IP安全策略_第1页
第1页 / 共20页
命令行的方式指派(启动)或不指派(停止)一个IP安全策略_第2页
第2页 / 共20页
命令行的方式指派(启动)或不指派(停止)一个IP安全策略_第3页
第3页 / 共20页
命令行的方式指派(启动)或不指派(停止)一个IP安全策略_第4页
第4页 / 共20页
命令行的方式指派(启动)或不指派(停止)一个IP安全策略_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《命令行的方式指派(启动)或不指派(停止)一个IP安全策略》由会员分享,可在线阅读,更多相关《命令行的方式指派(启动)或不指派(停止)一个IP安全策略(20页珍藏版)》请在金锄头文库上搜索。

1、命令行的方式指派(启动)或不指派(停止)一个 IP 安全策略 (win2000)IPSec 首先需要指出的是,IPSec 和 TCP/IP 筛选是不同的东西,大家不要混淆了。TCP/IP 筛选的功能十分有限,远不如 IPSec 灵活和强大。下面就说说如何在命令行下控制 IPSec。 XP 系统用 ipseccmd, 2000 下用 ipsecpol。遗憾的是,它们都不是系统自带的。ipseccmd 在 xp 系统安装盘的 SUPPORTTOOLSSUPPORT.CAB 中,ipsecpol 在 2000 Resource Kit 里。而且,要使用 ipsecpol 还必须带上另外两个文件:ip

2、secutil.dll 和 text2pol.dll。三个文件一共 119KB。 IPSec 可以通过组策略来控制,但我找遍 MSDN,也没有找到相应的安全模板的语法。已经配置好的 IPSec 策略也不能被导出为模板。所以,组策略这条路走不通。IPSec 的设置保存在注册表中(HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocal),理论上可以通过修改注册表来配置 IPSec。但很多信息以二进制形式存放,读取和修改都很困难。相比之下,上传命令行工具更方便。 关于 Ipsecpol 和 Ipseccmd 的资料,网上可

3、以找到很多,因此本文就不细说了,只是列举一些实用的例子。 在设置 IPSec 策略方面,ipseccmd 命令的语法和 ipsecpol 几乎完全一样,所以只以 ipsecpol 为例: 1、防御 Rpc-dcom 攻击 ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp*+0:445:tcp *+0:445:udp -n BLOCK -w reg -x这条命令关闭了本地主机的 TCP135,139,445 和 udp135,137,138,445 端

4、口。 具体含义如下: -p myfirewall 指定策略名为 myfirewall-r rpc-dcom 指定规则名为 rpc-dcom-f . 建立 7 个筛选器。*表示任何地址(源);0 表示本机地址(目标);+表示镜像(双向)筛选。详细语法见 ipsecpol -?-n BLOCK 指定筛选操作是阻塞。注意,BLOCK 必须是大写。-w reg 将配置写入注册表,重启后仍有效。-x 立刻激活该策略。2、防止被 Ping ipsecpol -p myfirewall -r antiping -f *+0:icmp -n BLOCK -w reg -x如果名为 myfirewall 的策略

5、已存在,则 antiping 规则将添加至其中。 注意,该规则同时也阻止了该主机 ping 别人。 3、对后门进行 IP 限制 假设你在某主机上安装了 DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出,应该限制对其服务端口 6129 的访问。 ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w regipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x这样就只有 123.45

6、.67.89 可以访问该主机的 6129 端口了。 如果你是动态 IP,应该根据 IP 分配的范围设置规则。比如: ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w regipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x这样就允许 123.45.67.1 至 123.45.67.254 的 IP 访问 6129 端口。 在写规则的时候,应该特别小心,不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样,

7、可以先用计划任务留下后路 。例如: c:net start scheduleTask Scheduler 服务正在启动 .Task Scheduler 服务已经启动成功。c:time /t12:34c:at 12:39 ipsecpol -p myfw -y -w reg新加了一项作业,其作业 ID = 1。 然后,你有 5 分钟时间设置一个 myfw 策略并测试它。5 分钟后计划任务将停止该策略。 如果测试结果不理想,就删除该策略。 c:ipsecpol -p myfw -o -w reg注意,删除策略前必须先确保它已停止。不停止它的话,即使删除也会在一段时间内继续生效。持续时间取决于策略的

8、刷新时间,默认是 180 分钟。 如果测试通过,那么就启用它。 c:ipsecpol -p myfw -x -w reg最后说一下查看 IPSec 策略的办法。 对于 XP 很简单,一条命令搞定-ipseccmd show filters 而 ipsecpol 没有查询的功能。需要再用一个命令行工具 netdiag。它位于2000 系统安装盘的 SUPPORTTOOLSSUPPORT.CAB 中。(已经上传了三个文件,也就不在乎多一个了。) Netdiag 需要 RemoteRegistry 服务的支持。所以先启动该服务: Net start remoteregistry 不启动 Remote

9、Registry 就会得到一个错误: FATAL Failed to get system information of this diag 这个工具功能十分强大,与网络有关的信息都可以获取!不过,输出的信息有时过于详细,超过命令行控制台 cmd.exe 的输出缓存,而不是每个远程 cmd shell 都可以用 more 命令来分页的。 查看 Ipsec 策略的命令是: netdiag /debug /test:ipsec然后是一长串输出信息。IPSec 策略位于最后。 静态模式,常用的参数如下:? -w reg 表明将配置写入注册表,重启后仍有效。? -p 指定策略名称,如果名称存在,则将该

10、规则加入此策略,否则创建一个。? -r 指定规则名称。 ? -n 指定操作,可以是 BLOCK、PASS 或者 INPASS,必须大写。? -x 激活该策略。? -y 使之无效。? -o 删除-p 指定的策略。? 其中最关键的是-f。它用来设置你的过滤规则,格式为? A.B.C.D/mask:port=A.B.C.D/mask:port:protocol 。其中=前面的是源地址,后面是目的地址。如果使用+,则表明此规则是双向的。IP 地址中用*代表任何 IP地址,0 代表我自己的 IP 地址。还可以使用通配符,比如 144.92.*.* 等效于 144.92.0.0/255.255.0.0。代

11、码清单? echo off? rem? rem blockport.bat? rem SpirituelSMTH? rem? rem This file use the IPsec filters to block default ports of Windows.? rem It can work on Windows 2003 and Windows XP system if there is ipseccmd command on it.? rem It can also work on Windows2000, if you chang ipseccmd to ipsecpol whe

12、n ipsecpol command could work well.? rem You can customize your own policy easily.? rem please refer to README.txt for more details.? rem NOTICE: NO WARRANTY totally. Please use it carefully.? rem? rem? rem? echo Usage blockport -o or -y ? echo set policy of filter rules and and enable them without

13、parameter.? echo -y parameter to make the policy inactive.? echo -o parameter to disable and delete the policy.? if %1=-y goto :inactive? if %1=-o goto :delete? echo on? ipseccmd -w REG -p Block default ports -y? ipseccmd -w REG -p Block default ports -o? ipseccmd -w REG -p Block default ports -r Bl

14、ock TCP/135 -f *+0:135:TCP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block TCP/139 -f *+0:139:TCP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block TCP/445 -f *+0:445:TCP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block UDP/123 -f *+0:123:UDP -n BLOCK? ipseccmd -w REG -p B

15、lock default ports -r Block UDP/135 -f *+0:135:UDP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block UDP/137 -f *+0:137:UDP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block UDP/138 -f *+0:138:UDP -n BLOCK? ipseccmd -w REG -p Block default ports -r Block UDP/139 -f *+0:139:UDP -n BLO

16、CK? ipseccmd -w REG -p Block default ports -r Block UDP/445 -f *+0:445:UDP -n BLOCK? rem ipseccmd -w REG -p Block default ports -r Block ping -f 0+*:ICMP -n BLOCK? ipseccmd -w REG -p Block default ports -x? goto :end? inactive? echo on? ipseccmd -w REG -p Block default ports -y? goto :end? delete? echo on? ipseccmd -w

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号