国产精品一区二区三区在线播放,久久精品中文,欧美精品一区二区久久

主頁 > 知識庫 > 安全工具netsh IPSec使用方法[ip安全策略]

安全工具netsh IPSec使用方法[ip安全策略]

netsh ipsec 使用方法

在命令行下，通過netsh ipsec static來配置IPSEC安全策略。前提是IPSEC服務已經打開。
一個IPSEC由一個或者多個規則組成；一個規則有一個IP篩選器列表和一個相應的篩選器操作組成；這個篩選器列表和篩選器可以是系統本身所沒有的，如果沒有則需要自行建立，而一個篩選器又由一個或多個篩選器組成，因此配置IPSEC的時候必須分步進行。規則由篩選器列表和篩選器操作構成。而且存放在策略里，策略器由策略器列表來存儲，這樣就決定了一個步驟：建立空的安全策略，建立篩選器列表，建立篩選器操作，這三步不需要特定的順序，建立篩選器需要在空篩選器列表建立成以后；建立規則在上述三步驟完成之后。下面開始配置策略的新增，修改，刪除、最重要的是激活；

更詳細的資料請參考微軟的技術資源庫：

Netsh Commands for Internet Protocol Security (IPsec)

連接如下：http://technet.microsoft.com/zh-cn/cc725926

備注：注意連接里的 Netsh Commands for Windows Firewall with Advanced Security.連接，他給你的幫助會更大；

導出IPsec安全策略：Netsh ipsec static exportpolicy file = d:\ExportSecurity.ipsec
導入IPsec安全策略：Netsh ipsec static importpolicy file = d:\ImportSecurity.ipsec
1、建立一個新的策略
1.1首先建立一個空的安全策略[Michael's安全策略]
Netsh ipsec static add policy name = Michael's安全策略
1.2建立一個篩選器操作”阻止”
Netsh ipsec static add filteraction name = 阻止 action =block
1.3建立一個篩選器列表“可訪問的終端列表”
Netsh ipsec static add filterlist name =可訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表
srcaddr=203.86.32.248
dstaddr = me dstport = 3389
description = 部門1訪問 protocol =TCP mirrored = yes
Netsh ipsec static add filter filterlist = 可訪問的終端列表
Srcaddr = 203.86.31.0 srcmask=255.255.255.0
dstaddr = 60.190.145.9 dstport = 0
description = 部門2訪問 protocol =any mirrored = yes
1.4建立策略規則
Netsh ipsec static add rule name =可訪問的終端策略規則
Policy = Michael's安全策略
filterlist =可訪問的終端列表
filteraction = 阻止
2、修改策略
netsh ipsec static set filter filterlist = 可訪問的終端列表
srcaddr = 220.207.31.249
dstaddr = Me dstport=3389 protocol=TCP
3、刪除策略
netsh ipsec static delete rule name = 可訪問的終端策略規則 policy = Michael's安全策略
netsh ipsec static delete filterlist name = 可訪問的終端列表
4、最最重要的一步是激活；
netsh ipsec static set policy name = Michael's安全策略 assign = y
以下提供一個我自己寫的實例：

復制代碼代碼如下:

 
echo 創建安全策略 
Netsh IPsec static add policy name = APU安全策略 
echo 創建篩選器是阻止的操作 
Netsh IPsec static add filteraction name = 阻止 action = block 
echo 創建篩選器是允許的操作 
Netsh IPsec static add filteraction name = 允許 action = permit 
echo 建立一個篩選器可以訪問的終端列表 
Netsh IPsec static add filterlist name = 可訪問的終端列表 
Netsh IPsec static add filter filterlist = 可訪問的終端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes 
echo 建立一個篩選器可以訪問的終端列表 
Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes 
echo 建立策略規則 
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = APU安全策略 filterlist = 可訪問的終端列表 filteraction = 阻止 
echo 激活策略 
netsh ipsec static set policy name = APU安全策略 assign = y 
pause 

或者

復制代碼代碼如下:

 
Netsh ipsec static add policy name = 默認策略名稱 
pause 
Netsh ipsec static add filteraction name = 阻止操作 action = block 
pause 
Netsh ipsec static add filteraction name = 允許操作 action = permit 
pause 
Netsh ipsec static add filterlist name = 訪問列表 
pause 
Netsh ipsec static add filterlist name = 阻止列表 
pause 
Netsh ipsec static add filter filterlist = 訪問列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes 
pause 
Netsh ipsec static add filter filterlist = 訪問列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol = any mirrored = yes 
pause 
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表1 filteraction = 阻止操作 
pause 
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表2 filteraction = 阻止操作 
pause 
netsh ipsec static set policy name = 默認策略名稱 assign = y 
pause 

[以下是轉載未經過測試，百度上都可以找的到。]

復制代碼代碼如下:

 
REM =================開始================ 
netsh ipsec static ^ 
add policy name=bim 
REM 添加2個動作，block和permit 
netsh ipsec static ^ 
add filteraction name=Permit action=permit 
netsh ipsec static ^ 
add filteraction name=Block action=block 
REM 首先禁止所有訪問 
netsh ipsec static ^ 
add filterlist name=AllAccess 
netsh ipsec static ^ 
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any 
netsh ipsec static ^ 
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block 
REM 開放某些IP無限制訪問 
netsh ipsec static ^ 
add filterlist name=UnLimitedIP 
netsh ipsec static ^ 
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me 
netsh ipsec static ^ 
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit 
REM 開放某些端口 
netsh ipsec static ^ 
add filterlist name=OpenSomePort 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit 
REM 開放某些ip可以訪問某些端口 
netsh ipsec static ^ 
add filterlist name=SomeIPSomePort 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit 

前言：
IPSec的全稱是Internet Protocol Security，翻譯成中文就是Internet協議安全性。它的作用主要有兩個：一個是保護 IP 數據包的內容，另外一點就是通過數據包篩選并實施受信任通訊來防御網絡攻擊。這對于我們當有一些重要的數據在傳輸的過程中需要加以保護或者防止監聽來說無疑是一個好消息，因為Windows 2000已經內置了這個功能，我們不再需要借助其他的工具以實現這個目的了。
由于是在IP層進行對數據的對稱加密，封裝的是整個的IP數據包，所以不需要為 TCP/IP 協議組中的每個協議設置單獨的安全性，因為應用程序使用 TCP/IP 來將數據傳遞到 IP 協議層，并在這里進行保護。相應的IPSec配置相對復雜，但是對于應用程序來說是透明的，因此不要求應用程序必須支持。下面分幾個部分對IPSec的概念、工作過程和實踐應用等幾個方面加以闡述：
一、 IPSec的工作的過程：
兩臺計算機在通訊的時候，如果已經設置好IPSec的策略，主機在通訊的時候會檢查這個策略，策略在應用到主機的時候會有一個協商的過程，這個過程通過Security Association來實現。協商后根據Policy的配置，兩臺計算機之間建立一個加密的連接，數據進行加密傳輸。驅動程序將解密的數據包傳輸給TCP/IP的驅動程序，然后傳輸給接收端的應用程序。
二、進入IPSec控制界面：
有兩種方式可以打開，功能是完全一樣的：
 開始-運行-管理工具-本地安全策略
 MMC-添加/刪除管理單元-添加-IP安全管理策略-確定
三、預定義的策略：
缺省的是沒有啟用IPSec，需要進行指派。我們可以發現系統已經給我們定義了三個策略，下面非別進行介紹。
 安全服務器：必須使用IPSec，如果對方不使用IPSec，則通訊無法完成。用于始終需要安全通訊的計算機。
 客戶端：功能是缺省在通訊過程中不使用IPSec，如果對方要求IPSec，它也可以使用IPSec。用于在大部分時間不能保證通訊的計算機。
 服務器：功能是缺省使用IPSec，但是對方如果不支持IPSec，也可以不使用IPSec。用于在大部分時間能保證通訊的計算機。
策略可以在單臺計算機上進行指派，也可以在組策略上批量進行指派。值得注意的是為了達到可以通過協商后進行通訊，所以通訊的兩端都需要設置同樣的策略并加以指派。
四、 IPSec的工作方式：
 傳送模式（計算機之間安全性配置）：保護兩個主機之間的通訊，是默認的IPSec模式。傳送模式只支持Windows2000操作系統，提供點對點的安全性。
 隧道模式（網絡之間安全性配置）：封裝、發送和拆封過程稱之為“隧道”。一般實現方法是在兩個路由器上完成的。在路由器兩端配置使用IPSec，保護兩個路由器之間的通訊。主要用于廣域網上，不提供各個網絡內部的安全性。
五、 IPSec的身份驗證方法:
 Kerberos V5：（默認）如果是在一個域中的成員，又是Kerberos V5協議的客戶機，選擇這一項。比如一個域中的Windows 2000的計算機。
 證書：需要共同配置信任的CA。
 預共享密鑰：雙方在設置策略的時候使用一段共同協商好的密鑰。
以上三種方法都可以作為身份驗證的方法，一般在日常工作當中，如果是域中的Windows 2000的計算機之間就采用Kerberos的認證方式，由于國內CA用的實在不多，一般其他情況下可以采用第三種方式，雙方協商一段密鑰，這個在后面的例子二中還會涉及。
六、 IPSec的加密模式：
 身份驗證加密技術：
 SNA
 MD5
 數據包加密技術：
 40-bit DES
 56-bit DES
 3DES：最安全的加密方法，相應的也會消耗更多的系統資源。
以上的概念性的東西大家可以查閱相關資料，這里就不多多講述了。
七、應用：
以上概念性的東西說了很多，下面正式進入實戰，將通過兩個例子把IPSec的兩方面的功能進行說明。
1、保護IP數據包的內容：為了保護兩個主機之間的通訊信息的安全性，我們將利用IPsec的在兩臺計算機之間建立一個安全連接。采用預共享密鑰方式，并強制使用IPSec進行通訊加密。例子中有兩臺計算機，第一臺計算機IP為192.168.0.1，第二臺計算機IP為192.168.0.2，如果沒有特殊說明，操作是在第一臺計算機上進行。
（1）、進入IPSec控制界面，右鍵點擊“安全服務器”，選中屬性（系統已經內置了三條規則，大家可以自己詳細的看一下作用，為了演示策略的添加過程我們采用自己添加的方式）。點擊“添加”按鈕。
（2）、進入安全規則向導，點擊“下一步”按鈕。
（3）、根據實際情況，我們是實現兩臺主機之間的安全通訊，不是網絡之間的，所以選擇“此規則不指定隧道”，因此我們將采用傳送模式。點擊“下一步”按鈕。
（4）、進入了選擇網絡類型的界面，可以選擇的有三種方式，概念應該很好理解了，我們選擇“所有網絡連接”，點擊“下一步”按鈕。
（5）、進入了身份驗證方法的界面，三種驗證方法在上文中已經介紹，我們選擇第三種“此字串用來保護密鑰交換（預共享密鑰）”，然后在對話框中輸入我們協商好的密鑰，比如“hello”。點擊“下一步”按鈕。
（6）、進入了“IP篩選器列表”界面，由于我們是要保護全部的通訊，所有選擇“所有IP通訊”，當然也可以自己添加新的篩選器列表，這部分內容在第二個例子中會提到，點擊“下一步”按鈕。
（7）、進入“篩選器操作”界面，根據我們前面提到的要求，我們選擇要求安全設置，這里的篩選器操作也是可以自己添加的，例子二中也會提到，點擊“下一步”按鈕。
（8）、至此安全規則創建完畢，我們點擊“完成”。
（9）、會到開始的端口，我們會發現已經增加了我們新增加的安全規則。除了選中我們自己創建的規則以外，我們把其他默認規則的對勾點無。
（10）、最后，也是非常重要的一點，我們要對我們創建的策略進行指派，否則策略不會自己生效，點擊“安全服務器”右鍵，點擊“指派”。
（11）、這個時候我們打開一個窗口，開始使用Ping命令，檢查我們的通訊狀況。例子中的第二臺計算機的IP地址為192.168.0.2，我們執行Ping 192.168.0.2 –t，會發現一直在“協商IP安全性”，這個是什么原因呢？因為這個時候我們只是在第一臺計算機上面設置了IPsec策略，另一端并沒有做相應的設置，協商無法成功，所以這個時候我們必須到另外一端的計算機進行同樣的設置并進行指派。
（12）、192.168.0.2的計算機上設置完畢并進行指派以后我們發現信息發生了變化，協商IP安全性通過，我們又接收到了來自192.168.0.2的回應。
（13）、如果我們在這之前打開了IP安全監視器，也就是IPSecmon的話，我們會發現窗口里面會有相應的記錄顯示。右下角也會顯示“IP安全設置已經在這臺計算機上啟用”。
至此，例子一所要求的目的已經達到，我們成功的創建了IPSec來保證數據的安全性，這個時候其它沒有啟用IPsec的計算機如果對這臺計算機發出Ping的命令，將得不到回應，如下圖（我采用的方法是不指派計算機192.168.0.1設置好的IPSec策略）：
2、數據包篩選：這個功能對于我們來說也是相當有用的，記得很多網友都在詢問如何關閉計算機的某個端口或者是如何防止別人Ping我的計算機等等之類的問題，防火墻是一個解決的方式，但是需要付出額外的費用和資源。靠TCP/IP屬性里面的高級選項的篩選可以做到一些，但是只能夠設置打開哪些端口，不能設置關閉哪些端口。其實這個要求完全可以靠IPSec來實現，有的朋友可能要問，那么還防火墻做什么？前面提到，和專業防火墻比起來，使用Ipsec配置相對來說要麻煩一些，不適合一般用戶使用，另外目前的防火墻已經集成了很多其他的功能，還有就是硬件的防火墻會消耗更少的系統資源。
下面的例子會介紹如果使用IPSec進行數據包篩選，關閉ICMP，也就是大家很關心的如何關閉Ping的回應信息，這個其實用到的是ICMP（8，0），這里不詳細介紹了ICMP了，正式進入實踐操作（例子有兩臺計算機，第一臺計算機IP為192.168.0.1，第二臺計算機IP為192.168.0.2，如果沒有特殊說明，操作是在第二臺計算機上進行。）：
（1）、進入IPSec控制界面，由于我們需要的篩選策略和操作在系統內置的里面沒有合適的，所以下面我們進行自己添加。首先右鍵點擊“IP安全策略”，選中“管理IP篩選器表和篩選器操作”。
（2）、選中管理IP篩選器列表，點擊“添加”按鈕。
（3）、為我們的IP篩選器列表起一個名字，比如“ICMP”，也可以在“描述”信息里面輸入相應的描述信息。點擊“添加”按鈕。
（4）、進入“IP篩選器向導”，點擊“下一步”按鈕。
（5）、選擇“源地址”信息，我們選擇“我的IP地址”，也就是代表的本機，192.168.0.2。點擊“下一步”按鈕。
（6）、選擇“目標地址”信息，我們選擇“任何IP地址”，如果大家配置過防火墻，大家會發現這個步驟和防火墻的配置是完全一樣的。點擊“下一步”按鈕。
（7）、選擇“協議類型”，我們選擇“ICMP”。這個時候大家會發現有很多協議類型供大家選擇，也包括了TCP、UDP等等。點擊下一步。
（8）、這個時候就完成了IP篩選器的建立，可以點擊“完成”按鈕。這個時候值得注意的是，由于我選擇的是ICMP，但是假如這個時候我選擇的是TCP，后面還會出現端口的選擇，設置進站和出站的端口。
（9）、接下來要進行的是添加一個符合我們需要的篩選器操作，這里我們需要的建立一個阻止的操作。首先我們點擊“添加”按鈕：
（10）、進入了“IP安全篩選器操作向導”，點擊“下一步”按鈕。
（11）、我們給這個操作起一個名字，這里我起的是“Deny”，也可以在描述中加入一些描述信息。點擊“下一步”按鈕。
（12）、選擇操作的行為，我們選擇“阻止”。點擊“下一步”按鈕。
（13）、這樣就完成了“IP安全篩選器操作”的添加工作，點擊完成。
（14）、下面的工作是建立一條新的IP安全策略，會用到以上我們創建的篩選器列表和操作。回到我們的第一步的位置，這次點擊“創建IP安全策略”。這個時候我們進入了“IP安全策略向導”，點擊“下一步”按鈕。
（15）、我們給這個IP安全策略起一個名字，我起的名字叫做“屏蔽ICMP”，也可以適當加入描述信息。點擊“下一步”按鈕。
（16）、選擇“激活默認響應規則”，點擊“下一步”按鈕。
（17）、選擇默認值，點擊“下一步”按鈕。
（18）、點擊“完成”。
（19）、下面開始對此條策略進行配置。點擊“添加”按鈕。
（20）、進入“創建IP安全規則向導”，點擊“下一步”按鈕。
（21）、和例子一中類似，按照我們的需求，我們選擇“此規則不指定隧道”。點擊“下一步”按鈕。
（22）、選種“所有網絡連接”，點擊“下一步”按鈕。
（23）、選擇“默認值”，點擊“下一步”按鈕。
（24）、選種我們新建立的篩選器“ICMP”，點擊“下一步”按鈕。
（25）、選擇我們新建立的操作“deny”，點擊“下一步”按鈕。
（26）、至此，我們完成了整個設置過程。點擊完成結束。
（27）、最后還需要提醒大家的就是需要對我們新建立的策略進行指派。
（28）、下面的圖表示了在指派我們這條策略前后的變化，在192.168.0.2這臺計算機指派了此條規則以后，我們從192.168.0.1這臺計算機將得不到來自192.168.0.2這臺計算機的ICMP的回應。
以上我們通過三部分的工作完成了數據包篩選的操作，分別是創建IP篩選器列表和IP篩選器操作，還有就是創建IP安全策略。不過不是每一條規則都需要這么多的操作，比如IP篩選器操作，下次再有屏蔽某個端口操作的時候就可以直接使用這個“deny”操作了。
八、結束語
通過上面的介紹，大家可以發現使用IPSec真的可以做不少事情，假如我們知道了其他服務的端口，比如終端服務、FTP服務等等，都可以用IPSec把數據通訊保護起來。現在大家不妨盡快去做這個事情，誰知道現在有沒有在監聽你的信息呢？
如果在使用中遇到問題，大家不妨嘗試從以下幾個方面去進行排錯。檢查兩端是否都已經相應的做了IPSec策略設置；檢查策略是否已經被指派；檢查系統和安全日志相關記錄；利用監視器，也就是命令行方式下的IPSecmon。最后祝大家使用順利，充分發揮Windows 2000的這個好工具的功能！
------------------------------------------
KUKA:ipsec是個很有用的東西，許多做服務器托管的朋友常為安全問題煩惱，其實只要善用IPSEC，NTFS權限等等完全可以在一定程度上解決大部分的安全問題的

在實際使用中，我們都是將規則導出，為ipsec擴展名，然后導入即可。

復制代碼代碼如下:

 
:: 導入常來網專用IP安全策略 
netsh ipsec static importpolicy ThecSafe.ipsec 
netsh ipsec static set policy name="常來網專用安全策略" assign=y 

您可能感興趣的文章:

服務器安全之手把手教你如何做IP安全策略
win2008 IP安全策略關閉端口、禁止ping、修改遠程連接3389端口、開放指定端口
win2008 R2設置IP安全策略后在服務器內打開網站很慢或無法訪問外部網站的原因
win2008 IP安全策略下配置一個IP段的寫法
Windows Server 2008 R2通過IP安全策略阻止某個IP訪問的設置方法
Win2003下通過IP安全策略限制udp-flood發包的批處理代碼
win2003服務器安全設置之 IP安全策略
win2003 ip安全策略限制某個IP或IP段訪問服務器指定端口圖文說明
Win2003設置IP安全策略批處理腳本
用批處理設置IP安全策略的代碼
Ip安全策略批處理腳本及注釋(netsh)
IP安全策略限制IP進入遠程桌面設置方法
win2003 創建 IP安全策略來屏蔽端口的圖文教程
服務器安全策略 IP安全策略設置方法
IP安全策略關閉端口說明
通過IP安全策略 WIN2003禁止PING
用windows 2000的IP安全策略封閉端口的辦法
使用netsh命令來管理IP安全策略(詳細介紹)

標簽：宜賓烏魯木齊陽泉香港巴中吳忠小程序湘西

巨人網絡通訊聲明：本文標題《安全工具netsh IPSec使用方法[ip安全策略]》，本文關鍵詞安全,工具,netsh,IPSec,使用方法,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

安全工具netsh IPSec使用方法[ip安全策略]