欢迎来到天天文库
浏览记录
ID:9739488
大小:70.50 KB
页数:11页
时间:2018-05-07
《如何使用ipsec阻止特定网络协议和端口》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、如何使用IPSec阻止特定网络协议和端口~教育资源库 概要 IPSec 首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。 XP系统用ipseccmd,2000下用ipsecpol。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORTTOOLSSUPPORT.CAB中,ipsecpol在2000ResourceKit里。而且,要使用ipsecpol还必须带上另外两个文件
2、:ipsecutil.dll和text2pol.dll。三个文件一共119KB。 IPSec可以通过组策略来控制,但我找遍MSDN,也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以,组策略这条路走不通。IPSec的设置保存在注册表中 (HKEY_LOCAL_MACHINESOFTicrosoftiniRemoteControl。 为了保护它不被别人暴破密码或溢出,应该限制对其服务端口6129的访问。 ipsecpol-pmyfrc_block_all-f*+0:6129:tcp-nBLO
3、CK-yfrc_pass_me-f123.45.67.89+0:6129:tcp-nPASS-yfrc_block_all-f*+0:6129:tcp-nBLOCK-yfrc_pass_me-f123.45.67.*+0:6129:tcp-nPASS-e/t 12:34 c:>at12:39ipsecpol-pmyfyfyfyfdash;ipseccmdshooteRegistry服务的支持。所以先启动该服务: startremoteregistry 不启动RemoteRegistry就会得到一个错误: [FAT
4、AL]Failedtogetsysteminformationofthismachine. diag这个工具功能十分强大,与网络有关的信息都可以获取!不过,输出的信息有时过于具体,超过命令行控12345678下一页友情提醒:,特别!制台cmd.exe的输出缓存,而不是每个远程cmdshell都可以用more命令来分页的。 查看ipsec策略的命令是: diag/debug/test:ipsec 然后是一长串输出信息。IPSec策略位于最后。 更多信息 确定是否指定了IPSec策略 基于FilesSupportToo
5、ls。 3.运行以下命令以验证尚未为该计算机指定现有IPSec策略: diag/test:ipsec 假如没有指定策略,您将收到以下消息: IP安全测试。........:传递的IPSec策略服务是活动的,但是没有指定策略。 基于WindoFilesSupportTools。 3.运行以下命令以验证尚未为该计算机指定现有IPSec策略: diag/test:ipsec 假如没有指定策略,您将收到以下消息: IP安全测试。........:传递的IPSec策略服务是活动的,但是没有指定策略。 基于Windo
6、ws2000的计算机 在为基于Windows2000的计算机创建或指定任何新的IPSec策略之前,请确定是否有从本地注册表或通过GPO应用的任何IPSec策略。为此,请按照下列步骤操作:1.运行Windows上一页12345678下一页友情提醒:,特别!2000CD上的SupportTools文件夹中的Setup.exe,安装Netdiag.exe。 2.打开命令提示符窗口,然后将工作文件夹设置为C:ProgramFilesSupportTools。 3.运行以下命令以验证尚未为该计算机指定现有IPSec策略: diag
7、/test:ipsec 假如没有指定策略,您将收到以下消息: IP安全测试。........:传递的IPSec策略服务是活动的,但是没有指定策略。 创建用于阻止通信的静态策略 基于d.exe是d.exe-berFilter-rBlockInboundProtocolPortNumberRule-f*=0ortNumberrotocol-nBLOCK–x 例如,要阻止从任何IP地址和任何源端口发往er蠕虫的攻击。 IPSeccmd.exe-da蠕虫的攻击。 IPSeccmd.exe-ber是变量: I
8、PSeccmd.exe-berFilter-rBlockOutboundProtocolPortNumberRule-f*0=ortNumber:Protocol-nBLOCK 例如,要阻止从基于er蠕虫。 IPSeccmd.exe-wREG-pBlockU
此文档下载收益归作者所有