命令行IPSec封锁端口
ipseccmd使用方法
1、ipseccmd是干什么用的?ipseccmd可以理解为IP安全策略的命令行版。
可以使用命令参数来设置各种各样的IP安全策略。
2、ipseccmd是否是WINDOWS自带的?ipseccmd不是WINDOWS装好后就存在的工具。
它存在于原版XP光盘的SUPPORT\TOOLS\SUPPORT.CAB压缩包中!4、ipseccmd的命令解析。
常用参数-w reg 表明将配置写入注册表,重启后仍有效。
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
-r 指定规则名称。
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
-x 激活该策略。
-y 使之无效。
-o 删除-p指定的策略。
高级参数-f 设置过滤规则。
格式为A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。
其中=前面的是源地址,后面是目的地址。
如果使用+,则表明此规则是双向的。
IP地址中用*代表任何IP地址,0代表我自己的IP地址。
还可以使用通配符,比如144.92.*.* 等效于144.92.0.0/255.255.0.0。
-lan 指定规则应用为局域网。
-dialup 指定规则应用为广域网。
+ 表示双向。
* 表示所有IP0 表示自己的IP还有一些参数,我还理解不太好。
同时感觉用到的地方不太多了。
所以就不多说。
先举例子说明一下以上参数吧!4.1禁止以任何协议访问某IP的任何端口:ipseccmd -w REG -p "clxp safe policy" -r "disable connect ip" -f 0/255.255.255.255=202.108.22.5/255.255.255.255:: -n BLOCK -x此段代码的含义:设置名为“clxp safe policy”的IP安全策略,添加名为"disable connect ip"的规则。
华为路由器IPSec不通的问题分析_实际遇到的问题
问题1 ipsec建立成功后,路由器重启后业务不通
解决问题的过程(问题1)
问题1描述: 1、路由器与华为交换机的IPsec隧道建立成功,路由器Ipsec状态为connected。 2、某种原因路由器重启或网络连接禁用再启用后,Ipsec再次连接后业务不通。
解决问题的过程(问题1)
处理过程1 1、4G路由器Ipsec通道建立成功,状态 为connected 2、检查华为路由器的隧道情况。IKE隧 道建立成功(命令:display Ike sa )
注意: 实践过程中发现 a端配置dpd,b端不配置,导致a端发出的dpd报文无法得到响
应,产生dpd failure ,重新发起隧道协商,但是认为*** 隧道正常,隧道状态up,导 致网络不通,此时需要两端都开启dpd 检测,或者2端都关闭dpd检测
解决问题的过程(问题1)
处理过程1 查询华为路由器IPSEC隧道建立正常(命 令:display ipsec sa)
解决问题的过程(问题1)
原因分析: 1、4G路由器重启后或者网络重启后,modem IP发生变化,4G路由器重新接入时使用 新的Ip建立连接,但是华为路由器ipsec并没有释放前一IP的隧道,当路由器作为客户端 重新接入时华为路由器的隧道时没有任何变化,导致业务不通。 2、有时运营商会限制掉IPsec业务,如果Ipsec隧道运行正常,业务突然不通,首先排查 运营商是否有限制。
解决办法:
1、远程到华为路由器手动释放掉华为路由器的IPsec隧道,命令:reset Ike sa all
2、客户端和服务器同时配置DPD检测。
总结建议:ipsec sa ike sa 重新建立需要按照规定的时间或者达到指定的流量才会重新 建立,此时中途如果一端的隧道中断,另一端可能无法感知,导致***流量不通。 使用dpd技术 相当于心跳报文,当指定周期无法收到对端的dpd报文,删除ipsec相关隧 道,重新发起隧道协商,可以减少隧道中断时间
IPSec使用方法:配置和启用IPSec的步骤详解(四)
IPSec使用方法:配置和启用IPSec的步骤详解IPSec(Internet Protocol Security)是一种常用的网络安全协议,用于对网络通信进行加密和身份验证。
通过使用IPSec,我们可以保护数据的机密性和完整性,防止黑客和未经授权的访问者获得敏感信息。
本文将详细介绍配置和启用IPSec的步骤。
一、了解IPSec在开始配置和启用IPSec之前,我们首先要对IPSec有所了解。
IPSec是一套协议和算法的组合,用于在网络层提供数据的安全性。
它通过在IP层加密数据包来保护数据传输的机密性和完整性。
IPSec协议具有两种模式:传输模式和隧道模式。
传输模式只对数据部分进行加密,而隧道模式将整个IP数据包都加密。
二、确定IPSec使用场景在配置和启用IPSec之前,我们需要确定IPSec的使用场景。
我们可以使用IPSec来保护两个网络之间的通信,也可以用于保护远程访问VPN连接。
了解使用场景有助于我们选择正确的配置选项和参数。
三、配置IPSec1. 确保网络设备支持IPSec协议。
大多数现代网络设备都支持IPSec协议,如路由器、防火墙和虚拟专用网关。
2. 找到并打开网络设备的管理界面。
可以通过在Web浏览器中输入网络设备的IP地址来访问管理界面。
3. 导航到IPSec配置页面。
不同的设备管理界面可能有所不同,但通常可以在安全或VPN设置下找到IPSec配置选项。
4. 配置加密算法。
IPSec支持多种加密算法,如AES、3DES和DES。
根据安全需求选择合适的算法。
5. 配置身份验证算法。
IPSec使用身份验证算法来确认通信双方的身份。
常见的身份验证算法有预共享密钥和证书。
选择适合的身份验证算法,并创建所需的密钥或证书。
6. 配置密钥管理。
密钥管理是IPSec中关键的一部分,用于协商和管理加密密钥。
可以选择手动密钥管理或自动密钥管理协议(如IKE)。
7. 配置IPSec策略。
IPSec策略定义了如何应用IPSec加密和身份验证规则。
设置本地安全IP策略、屏蔽指定端口的命令行工具ipseccmd.exe1.5
ipseccmd在xp系统安装盘的 SUPPORT\TOOLS\SUPPORT.CAB 中。
ipsec是网管员应该熟悉的一个非常好用的工具,该工具的GUI界面在本地安全策略的IP策略里,网上有一些教程,但使用命令行ipseccmd.exe程序进行设置有助于在多台电脑中进行部署和交流,这里我通过自己的一个实例来简单说明一下其使用方法。
xk是我的策略名,xkf1是xk策略里的一条规则,每条规则的名称不可以重复。
2、指派并立即执行某策略
ipseccmd -p 策略名 -w reg -x
例2: ipseccmd -p xk -w reg -x
3、停止指派某策略
ipseccmd -p 策略名 -w reg -y
例3:ipseccmd -p xk -w reg -y
ipseccmd -p xk -r xkf4 -f 0=%ip%:135:tcp 0=%ip%:135:udp 0=%ip%:137:udp 0=%ip%:138:udp 0=%ip%:139:tcp 0=%ip%:445:tcp 0=%ip%:445:udp -n PASS -w reg
rem -------------------------------------------------------------
关于-o选项:
-o 用来删除策略。如果策略还在指派中,是无法删除的,先用-y取消指派吧。
如果仍然无法删除,就把IPSEC Services服务重新启动一下就OK了。
简易教程:
1、建立一个策略并且不指派:
ipseccmd -p 策略名 -r 过滤名 [-f.....] -w reg
例1:ipseccmd -p xk -r xkf1 *=0:135:tcp -n BLOCK -w reg
华为路由器 配置IPSec
目录
目录
7 配置 IPSec ...................................................................................................................................7-1
7.1 简介..............................................................................................................................................................7-2 7.1.1 IPSec 概述 ...........................................................................................................................................7-2 7.1.2 基于证书认证机制的 IPSec ..............................................................................................................7-2
文档版本 02 (2008-12-15)
华为所有和机密iLeabharlann 版权所有 © 华为技术有限公司
目录
Secoway USG50 配置指南 安全防范分册
7.5.3 配置证书验证...................................................................................................................................7-21 7.5.4 检查配置结果...................................................................................................................................7-21 7.6 维护............................................................................................................................................................7-21 7.6.1 查看 IPSec 处理报文的统计信息 ...................................................................................................7-21 7.6.2 调试 IPSec ........................................................................................................................................7-21 7.6.3 调试 IKE...........................................................................................................................................7-22 7.6.4 删除 IKE SA.....................................................................................................................................7-22 7.6.5 删除 SA ............................................................................................................................................7-22 7.6.6 清除 IPSec 统计报文 .......................................................................................................................7-23 7.6.7 维护低速加密卡...............................................................................................................................7-23 7.6.8 维护 CA............................................................................................................................................7-24 7.7 配置举例....................................................................................................................................................7-25 7.7.1 配置采用 Manual 方式建立 SA 示例 .............................................................................................7-25 7.7.2 配置采用 IKE 方式建立 SA 示例(预共享密钥) .......................................................................7-32 7.7.3 配置采用 IKE 方式建立 SA 示例(RSA 签名) ..........................................................................7-39
IPSecVPN配置教程
IPSecVPN配置教程IPSec(Internet Protocol Security)是一种常用的网络安全协议,用于实现虚拟专用网络(VPN)的连接和加密通信。
通过配置IPSecVPN,用户可以在公共网络上建立起安全的私密连接,确保数据传输的保密性和完整性。
本篇文章将向您介绍如何配置IPSecVPN,以下是具体步骤:1. 确保网络设备支持IPSec协议在开始配置IPSecVPN之前,您需要确保所使用的网络设备(如路由器或防火墙)支持IPSec协议。
如果您不确定设备是否支持IPSec,可以查看设备的技术规格或者咨询设备厂商。
2. 了解IPSecVPN的基本原理在配置IPSecVPN之前,有必要了解一些IPSecVPN的基本原理。
IPSecVPN使用加密算法和密钥交换协议来实现数据的加密和身份认证。
常用的加密算法包括DES、3DES、AES等。
密钥交换协议包括IKE (Internet Key Exchange)和ISAKMP(Internet Security Association and Key Management Protocol)等。
3. 配置IPSec策略首先,您需要登录设备的管理界面,并找到IPSecVPN的配置选项。
根据您的需求,创建一个IPSec策略。
在策略中,您可以指定加密算法、身份认证方式、密钥长度等参数。
根据不同设备的配置界面不同,您可以参考设备的用户手册来完成此步骤。
4. 配置预共享密钥在IPSecVPN的配置中,预共享密钥用于身份认证和密钥交换。
您需要在设备中配置一个预共享密钥,并确保双方的预共享密钥一致。
预共享密钥可以是任意字符串,长度建议不少于8个字符,并且要足够复杂。
5. 配置网络地址转换(NAT)和端口转发(Port Forwarding)如果您的网络中存在NAT设备(如路由器),您需要配置NAT和端口转发,以便将IPSecVPN流量正确地传递到目标设备。
这通常需要在设备的配置界面中进行设置。
IPSec常见问题解答:解决IPSec使用过程中的疑难杂症(七)
IPSec常见问题解答:解决IPSec使用过程中的疑难杂症引言:IPSec(Internet Protocol Security)是一种用于保护网络通信安全的协议套件,广泛应用于虚拟私有网络(VPN)和远程访问等领域。
然而,在实际应用过程中,一些常见的问题可能会困扰着使用IPSec的用户。
本文将针对这些问题进行解答,帮助用户解决IPSec使用过程中的疑难杂症。
一. 连接建立问题:1. 为什么无法建立IPSec连接?IPSec连接建立失败可能有多种原因,最常见的是配置错误。
确保双方设备的IPSec配置参数一致,并检查防火墙是否阻止了所需的通信端口。
另外,还可以尝试在调试模式下运行IPSec,以获取更详细的错误信息。
2. 如何解决IPSec连接断开的问题?IPSec连接断开可能是由于不稳定的网络连接引起的。
尝试使用更可靠的网络连接,如有线连接或更稳定的Wi-Fi网络。
此外,检查设备的电源管理设置,确保网络适配器在空闲时不会关闭,从而避免连接断开的问题。
二. 性能问题:1. 为什么IPSec连接速度较慢?IPSec会对数据进行加密和解密处理,这会对连接速度产生一定影响。
可以尝试使用更高性能的硬件设备,或者选择更高级别的加密算法以提高连接速度。
另外,确保不要在同一设备上同时运行其他消耗大量资源的应用程序,以免影响IPSec连接的性能。
2. 如何优化IPSec连接的性能?为了优化IPSec连接的性能,可以尝试以下方法:- 选择适当的加密算法和密钥长度,根据安全性需求和性能要求进行权衡。
- 启用硬件加速功能,如果设备支持的话。
- 对IPSec设备进行升级,以获得更好的性能和稳定性。
三. 兼容性问题:1. 为什么IPSec在某些网络环境下无法使用?IPSec使用的协议和加密方法可能在某些网络环境下被阻止或限制。
例如,某些公共Wi-Fi网络可能会限制IPSec的使用。
在这种情况下,可以尝试使用其他的VPN协议,比如OpenVPN或L2TP/IPSec。
端口关闭与端口过滤的区别
详解端口关闭与端口过滤(端口屏蔽、端口阻塞)的区别Xiaojiwen 2012-4-8 一、了解ipseccmd命令的用法首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。
TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。
下面就说说如何在命令行下控制IPSec。
XP系统用ipseccmd 点击下载此文件。
2000下用ipsecpol。
WIN2003下直接就是IPSEC命令。
遗憾的是,它们都不是系统自带的。
ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。
而且,要使用ipsecpol 还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。
三个文件一共119KB。
winxp命令行下ipsec屏蔽不安全的端口IPSec叫作Internet协议安全。
主要的作用是通过设置IPsec规则,提供网络数据包的加密和认证。
不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。
通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。
你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设置。
更加简单的方法是使用ipseccmd命令。
ipseccmd在WindowsXP中没有默认安装,它在XP系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。
在Windows2000中它的名字叫做ipsecpol,默认应该也没有安装。
使用ipseccmd设置筛选,它的主要作用是设置你的筛选规则,为它指定一个名称,同时指定一个策略名称,所谓策略不过是一组筛选规则的集合而已。
比如你要封闭TCP135端口的数据双向收发,使用命令:ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x这里我们使用的是静态模式,常用的参数如下:-w reg 表明将配置写入注册表,重启后仍有效。
使用Win安全策略禁止Ping和指定端口
存储和备份日志数据
存储系统日志,并定期备份,确保数据的完整性和可追溯性。
及时更新病毒库和防火墙规则
及时更新病毒库
定期更新病毒库,以便及时检测和清除病毒、木马等恶意程 序。
及时更新防火墙规则
定期更新防火墙规则,以识别和阻断恶意流量和攻击行为。
为何要禁止Ping?
• Ping是一种网络诊断工具,它通过发送ICMP回显请求来测试目标主机的可达性。虽然Ping对于日常网络管 理和故障排除很有用,但在某些情况下,它可能会被恶意用户利用,以便探测目标主机的存在并尝试非法 访问。因此,禁止Ping可以增加网络安全性,避免潜在的攻击。
禁止Ping和指定端口的必要性
随着云计算的普及,云端安全问题也日益突出,未来安 全策略将会更加注重强化云端安全,例如通过加密技术 保护数据安全,通过访问控制限制用户行为等。
感谢您的观看
THANKS
03
指定端口设置
如何指定端口?
打开“控制面板” -> “系统和安全” -> “Windows防火墙” -> “高级设置”。
在“入站规则”或“出站规则”中,点击“新 建规则”。
在弹出的窗口中选择“端口”,并指定要开放的端 口范围。
点击“下一步”,选择“允许连接”。
继续点击“下一步”,选择“本地账户和共享 服务账户”。 最后点击“完成”即可。
更加精细化的控制
随着网络安全问题的不断复杂化,未来安全策略可能会 更加注重对网络行为的精细控制,例如更加精确地控制 哪些端口可以被访问,哪些协议被允许使用等。
结合人工智能技术
人工智能技术在网络安全领域的应用将会越来越广泛, 未来安全策略可能会结合人工智能技术来进行自动化防 御和攻击检测。
IPSec使用方法:配置和启用IPSec的步骤详解(七)
IPSec(Internet Protocol Security)是一种网络安全协议,用于保护网络通信中的数据传输安全性。
通过使用IPSec,我们可以在公共网络上建立安全的虚拟专用网络(VPN)连接,确保数据传输的机密性、完整性和可用性。
本文将详细介绍IPSec的配置和启用步骤。
第一部分:IPSec的基本概念IPSec是一种在网络层提供安全服务的协议,它通过对IP数据包进行加密和认证,保护数据在网络中的传输安全。
IPSec的工作方式包括两个主要组件:认证头(AH)和封装安全负载(ESP)。
认证头用于对数据进行认证,确保数据的完整性和真实性;封装安全负载则负责对数据进行加密,确保数据的机密性。
第二部分:IPSec的配置步骤1. 配置IPSec策略在开始配置IPSec之前,我们需要首先定义一个IPSec策略。
IPSec策略用于确定哪些流量应该被保护,以及应该使用哪种加密和认证算法。
我们可以定义多个IPSec策略,根据实际需要进行灵活配置。
在定义IPSec策略时,需要考虑到系统资源和性能的限制。
2. 配置IKE策略IKE(Internet Key Exchange)是IPSec中用于建立安全连接的协议。
在配置IKE策略之前,我们需要定义预共享密钥或者使用证书进行身份认证。
IKE策略包括了加密算法、认证算法、密钥交换方法等内容。
根据不同的安全需求,我们可以配置多个IKE策略,以适应不同的场景。
3. 配置IPSec隧道IPSec隧道是指通过IPSec建立的安全连接。
在配置IPSec隧道时,我们需要设置隧道的源地址和目的地址,以及加密和认证算法、会话密钥等参数。
配置IPSec隧道时,还需要注意选择合适的传输模式,包括隧道模式和传输模式,以满足不同的网络需求。
第三部分:IPSec的启用步骤1. 安装IPSec软件在启用IPSec之前,我们需要先在系统上安装相应的IPSec软件。
常用的IPSec软件包括StrongSwan、OpenSwan等。
IPSec使用方法:配置和启用IPSec的步骤详解(十)
IPSec使用方法:配置和启用IPSec的步骤详解在网络通信中,保护数据的安全性是至关重要的。
为了确保数据在传输过程中不被窃取或篡改,使用IPSec(Internet Protocol Security)是一种常见的选择。
IPSec是一个网络协议套件,用于对网络传输进行加密和身份验证。
本文将详细介绍配置和启用IPSec的步骤。
IPSec是在互联网工作组(Internet Engineering Task Force,简称IETF)的指导下开发的,它提供了一种安全的通信方式,可以在IPv4和IPv6网络上使用。
在配置和启用IPSec之前,您需要了解几个基本概念。
首先是密钥管理,它涉及到生成和分发密钥的过程。
密钥是用于加密和解密数据的关键。
通常,有两种主要的密钥管理方式,一种是手动密钥管理,另一种是自动密钥管理。
在本文中,我们将重点介绍自动密钥管理。
自动密钥管理使用一种称为IKE(Internet Key Exchange)的协议来建立和管理密钥。
IKE协议确保通信双方能够协商出一个共享密钥,用于加密和解密数据。
在配置和启用IPSec时,我们需要设置IKE参数。
另一个重要的概念是安全策略(Security Policy),它规定了哪些数据需要进行加密和认证。
安全策略通常基于源IP地址、目的IP地址和通信的协议类型来定义。
在配置和启用IPSec时,我们需要定义安全策略。
现在,让我们来详细讨论配置和启用IPSec的具体步骤。
步骤一:安装IPSec软件包首先,我们需要在我们的设备上安装IPSec软件包。
这些软件包通常是开源的,并且在大多数操作系统上都有提供。
您可以通过操作系统的软件包管理器或从官方网站下载所需的软件包。
步骤二:配置IKE参数接下来,我们通过编辑配置文件来配置IKE参数。
根据您使用的操作系统和IPSec软件包的不同,配置文件的位置和格式可能会有所不同。
您可以通过查阅相关文档来了解如何编辑配置文件。
IPSecSHELL命令配置手册
第4章IPSec配置 (1)4.1 VPN及IPSec概述 (1)4.1.1 VPN简介 (1)4.1.2 IPSec协议简介 (1)4.2 术语列表 (3)4.3 IPSec配置命令 (4)4.3.1 Enable模式下的命令 (4)4.3.2 IPSec模式下的配置命令 (4)4.4 VPN的配置实例 (10)4.4.1 总部到分支的配置实例 (10)4.4.2 总部到移动用户的配置实例 (15)附录A 词汇 (18)第4章IPSec配置4.1VPN及IPSec概述4.1.1VPN简介VPN在公网上常作为一个安全网关设备,支持IPSec协议。
它的主要作用是采用加密、认证和网络技术在公共互连网上构建相互信任方之间的安全加密信息传输通道,以期达到专用网络的效果。
VPN网关在其中将发挥非常重要的核心作用。
VPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。
相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。
但是,通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。
这样,即便信息被截取,也无法偷窥或篡改其内容。
保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。
4.1.2IPSec协议简介IPSec为IP层提供安全服务的安全网络协议,保护一条或多条主机与主机间、安全网关与安全网关或安全网关与主机间的路径。
它使系统能按需选择安全协议,决定服务所使用的算法及放置密钥到相应位置。
它使系统具有良好的互操作性,对那些不支持IPSec的主机和网络不会产生任何负面影响。
IPSec为用户提供的服务有:完整性――完整性可以确定信息在从发送方到接受方的过程中是否被篡改和破坏,可以通过MAC码和数字签名提供。
IPSec对接受到的数据进行数据认证,以保证数据在传输过程中没有被修改。
机密性――机密性提供对敏感信息的保护,使未授权用户无法读取有关信息IPSec 通过加密算法对数据包进行加密,以保证数据在网路中以密文传输。
木马端口封杀bat[资料]
![木马端口封杀bat[资料]](https://img.taocdn.com/s3/m/c59457c627fff705cc1755270722192e4536589c.png)
木马端口封杀BATgpupdate >nulrem For Client onlyipseccmd -w REG -p "HFUT_SECU" -o -x >nulipseccmd -w REG -p "HFUT_SECU" -x >nulrem ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/80" -f*+0:80:TCP -n BLOCK -x >nulrem ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/1434" -f *+0:1434:UDP -n BLOCK -x >nulrem ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/137" -f *+0:137:UDP -n BLOCK -x >nulrem ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/138" -f *+0:138:UDP -n BLOCK -x >nulrem echo 禁止网上邻居的文件传输(去掉上述两行的 REM 即可生效!)rem ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK -x >nulrem echo 禁止NetBIOS/SMB服务和文件和打印机共享和SAMBA(去掉REM生效)ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/135" -f*+0:135:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/135" -f*+0:135:UDP -n BLOCK -x >nulecho 禁止Location Service服务和防止 Dos 攻击…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f*+0:445:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/445" -f*+0:445:UDP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1025" -f*+0:1025:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1068" -f *+0:1068:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/5554" -f *+0:5554:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/9995" -f *+0:9995:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/9996" -f *+0:9996:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nulecho 关闭流行危险端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nulecho 关闭木马NetBus Pro开放的端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1092" -f *+0:1092:TCP -n BLOCK -x >nulecho 关闭蠕虫LoveGate开放的端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/3996" -f *+0:3996:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/4060" -f *+0:4060:TCP -n BLOCK -x >nulecho 关闭木马RemoteAnything开放的端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/4590" -f *+0:4590:TCP -n BLOCK -x >nulecho 关闭木马ICQTrojan开放的端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1080" -f*+0:1080:TCP -n BLOCK -x >nulecho 禁止代理服务器扫描…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/113" -f*+0:113:TCP -n BLOCK -x >nulecho 禁止Authentication Service服务…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/79" -f *+0:79:TCP -n BLOCK -x >nulecho 禁止Finger扫描…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block UDP/53" -f *+0:53:UDP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/53" -f *+0:53:TCP -n BLOCK -x >nulecho 禁止区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/707" -f*+0:707:TCP -n BLOCK -x >nulecho 关闭nachi蠕虫病毒监听端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/808" -f*+0:808:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/23" -f *+0:23:TCP -n BLOCK -x >nulecho 关闭Telnet 和木马Tiny Telnet Server监听端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/520" -f*+0:520:TCP -n BLOCK -x >nulecho 关闭Rip 端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1999" -f*+0:1999:TCP -n BLOCK -x >nulecho 关闭木马程序BackDoor的默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nulecho 关闭马程序黑洞2001的默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nulecho 关闭木马程序Ripper的默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/2583" -f *+0:2583:TCP -n BLOCK -x >nulecho 关闭木马程序Wincrash v2的默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x >nulecho 关闭Windows 的远程管理终端(远程桌面)监听端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/4444" -f *+0:4444:TCP -n BLOCK -x >nulecho 关闭msblast冲击波蠕虫监听端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/4899" -f *+0:4899:TCP -n BLOCK -x >nulecho 关闭远程控制软件(remote administrator)服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/5800" -f *+0:5800:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/5900" -f *+0:5900:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/8888" -f *+0:8888:TCP -n BLOCK -x >nulecho 关闭远程控制软件VNC的两个默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6129" -f*+0:6129:TCP -n BLOCK -x >nulecho 关闭Dameware服务端默认监听端口(可变!)…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6267" -f*+0:6267:TCP -n BLOCK -x >nulecho 关闭木马广外女生的默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/660" -f*+0:660:TCP -n BLOCK -x >nulecho 关闭木马DeepThroat v1.0 - 3.1默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6671" -f*+0:6671:TCP -n BLOCK -x >nulecho 关闭木马Indoctrination默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6939" -f*+0:6939:TCP -n BLOCK -x >nulecho 关闭木马PRIORITY默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/7306" -f*+0:7306:TCP -n BLOCK -x >nulecho 关闭木马网络精灵默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/7511" -f*+0:7511:TCP -n BLOCK -x >nulecho 关闭木马聪明基因的默认连接端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/7626" -f*+0:7626:TCP -n BLOCK -x >nulecho 关闭木马冰河默认端口(注意可变!)…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/8011" -f*+0:8011:TCP -n BLOCK -x >nulecho 关闭木马WAY2.4默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/9989" -f *+0:9989:TCP -n BLOCK -x >nulecho 关闭木马InIkiller默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/19191" -f *+0:19191:TCP -n BLOCK -x >nulecho 关闭木马兰色火焰默认开放的telnet端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1029" -f *+0:1029:TCP -n BLOCK -x >nulipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/20168" -f *+0:20168:TCP -n BLOCK -x >nulecho 关闭lovegate 蠕虫所开放的两个后门端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/23444" -f *+0:23444:TCP -n BLOCK -x >nulecho 关闭木马网络公牛默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/27374" -f *+0:27374:TCP -n BLOCK -x >nulecho 关闭木马SUB7默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nulecho 关闭木马NetSphere默认的服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/31337" -f *+0:31337:TCP -n BLOCK -x >nulecho 关闭木马BO2000默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/45576" -f *+0:45576:TCP -n BLOCK -x >nulecho 关闭代理软件的控制端口…………OK!*+0:50766:TCP -n BLOCK -x >nulecho 关闭木马Schwindler默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nulecho 关闭木马Telecommando默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/31338" -f *+0:31338:TCP -n BLOCK -x >nulecho 关闭木马Back Orifice默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/8102" -f *+0:8102:TCP -n BLOCK -x >nulecho 关闭木马网络神偷默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/2000" -f *+0:2000:TCP -n BLOCK -x >nulecho 关闭木马黑洞2000默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/31339" -f *+0:31339:TCP -n BLOCK -x >nulecho 关闭木马NetSpy DK默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nulecho 关闭木马黑洞2001默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/31666" -f *+0:31666:TCP -n BLOCK -x >nulecho 关闭木马BOWhack默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/34324" -f *+0:34324:TCP -n BLOCK -x >nulecho 关闭木马BigGluck默认服务端口…………OK!*+0:7306:TCP -n BLOCK -x >nulecho 关闭木马网络精灵3.0,netspy3.0默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/40412" -f*+0:40412:TCP -n BLOCK -x >nulecho 关闭木马The Spy默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/40421" -f*+0:40421:TCP -n BLOCK -x >nulecho 关闭木马Masters Paradise默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/8011" -f*+0:8011:TCP -n BLOCK -x >nulecho 关闭木马wry,赖小子,火凤凰默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/40422" -f*+0:40422:TCP -n BLOCK -x >nulecho 关闭木马Masters Paradise 1.x默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/23444" -f*+0:23444:TCP -n BLOCK -x >nulecho 关闭木马网络公牛,netbull默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/40423" -f*+0:40423:TCP -n BLOCK -x >nulecho 关闭木马Masters Paradise 2.x默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/23445" -f*+0:23445:TCP -n BLOCK -x >nulecho 关闭木马网络公牛,netbull默认服务端口…………OK!*+0:40426:TCP -n BLOCK -x >nulecho 关闭木马Masters Paradise 3.x默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/50505" -f*+0:50505:TCP -n BLOCK -x >nulecho 关闭木马Sockets de Troie默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/27374" -f*+0:27374:TCP -n BLOCK -x >nulecho 关闭木马Sub Seven 2.0+,77,东方魔眼默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/50766" -f*+0:50766:TCP -n BLOCK -x >nulecho 关闭木马Fore默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/53001" -f*+0:53001:TCP -n BLOCK -x >nulecho 关闭木马Remote Windows Shutdown默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/61466" -f*+0:61466:TCP -n BLOCK -x >nulecho 关闭木马Telecommando默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/121" -f*+0:121:TCP -n BLOCK -x >nulecho 关闭木马BO jammerkillahV默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/666" -f*+0:666:TCP -n BLOCK -x >nulecho 关闭木马Satanz Backdoor默认服务端口…………OK!*+0:65000:TCP -n BLOCK -x >nulecho 关闭木马Devil默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nulecho 关闭木马Silencer默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/6400" -f *+0:6400:TCP -n BLOCK -x >nulecho 关闭木马The tHing默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1600" -f *+0:1600:TCP -n BLOCK -x >nulecho 关闭木马Shivka-Burka默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/12346" -f *+0:12346:TCP -n BLOCK -x >nulecho 关闭木马NetBus 1.x默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1807" -f *+0:1807:TCP -n BLOCK -x >nulecho 关闭木马SpySender默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nulecho 关闭木马NetBus Pro默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1981" -f *+0:1981:TCP -n BLOCK -x >nulecho 关闭木马Shockrave默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1243" -f *+0:1243:TCP -n BLOCK -x >nulecho 关闭木马SubSeven默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1001" -f*+0:1001:TCP -n BLOCK -x >nulecho 关闭木马WebEx默认服务端口…………OK!ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nulecho 关闭木马NetSphere默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1011" -f *+0:1011:TCP -n BLOCK -x >nulecho 关闭木马Doly Trojan默认服务端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/10。
linux中IPsec网络加密配置方法
Linux中如何配置IPsec网络加密一IPsec概述IPsec可以有效地保护IP数据报的安全。
它采取的具体保护形式包括:数据起源地验证;无连接数据的完整性验证;数据内容的机密性(是否被别人看过);抗重播保护以及有限的数据流机密性保证。
IPSEC提供了一种标准的、健壮的一级包容广泛的机制,可用它为IP 及上层协议(如UDP和TCP)提供安全保证。
广东省Linux公共服务技术支持中心(咨询热线:400-033-0108)在为客户提供服务过程中总结出配置IPsec网络加密的经验方法,供同行参考。
二配置IPsec策略。
1)打开网卡配置,系统—>管理—>网络2)选择IPsec界面3)点击上面的“新建”按钮,进入IPsec设置界面4)点击“前进”,进行名称设置,注意:名称与对端的名称设置一致。
5)点击“前进”,进行连接设置。
连接类型选择“主机到主机加密”。
6)点击“前进”,选择加密类型:“通过IKA的自动加密模式选择”。
7)点击“前进”,进入对端的IP地址配置8)点击“前进”,进入密钥配置,如果对端主叫是windows2003操作系统,此配置对应的是windows2003的身份验证的字符串。
此配置需要两端一致。
9)点击“前进”,确认上述配置。
10)点击“应用”,后回到网卡配置到此配置完成。
重启网卡,然点击上面的激活。
三如何在配置好策略的本机上检验该策略是否生效了?操作如下:1)建立一个终端命令窗口,使用PING命令来向对端发送数据包。
2)再建立另一个终端命令窗口,使用tcpdump 命令来查看发送和接收的数据报。
每个包中出现AH和ESP认证即本IPsec配置已经生效。
如下图。
ciscoipsec一些基本命令
cisco ipsec一些基本命令cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道cisco ipsec一些基本命令吗?下面是店铺整理的一些关于cisco ipsec一些基本命令的相关资料,供你参考。
cisco ipsec一些基本命令:R1(config)#crypto ?dynamic-map Specify a dynamic crypto map template//创建或修改一个动态加密映射表ipsec Configure IPSEC policy//创建IPSec安全策略isakmp Configure ISAKMP policy//创建IKE策略key Long term key operations//为路由器的SSH加密会话产生加密密钥。
后面接数值,是key modulus size,单位为bitmap Enter a crypto map//创建或修改一个普通加密映射表Router(config)#crypto dynamic-map ?WORD Dynamic crypto map template tag//WORD为动态加密映射表名Router(config)#crypto ipsec ?security-association Security association parameters// ipsec安全关联存活期,也可不配置,在map里指定即可transform-set Define transform and settings//定义一个ipsec变换集合(安全协议和算法的一个可行组合)Router(config)#crypto isakmp ?client Set client configuration policy//建立地址池enable Enable ISAKMP//启动IKE策略,默认是启动的key Set pre-shared key for remote peer//设置密钥policy Set policy for an ISAKMP protection suite//设置IKE策略的优先级Router(config)#crypto key ?generate Generate new keys//生成新的密钥zeroize Remove keys//移除密钥Router(config)#crypto map ?WORD Crypto map tag//WORD为map表名二、一些重要命令。
IPSEC保护远程桌面
IPSEC保护服务器,只允许访问3389端口,防止监听式/反连式木马
一、添加允许连接3389端口规则
1.点击“开始”-》“运行”输入gpedit.msc打开组策略编辑器
2.打开”windows设置””安全设置”“IP安全策略”,右击选择“管理IP。
”打开窗口
3.点击添加,打开IP筛选器列表
4.点击添加,输入描述,
5.源IP选择任何IP地址,目的IP地址选择我的IP
6.IP协议类型选择TCP,协议端口选择到此端口3389,点击完成
7.IP筛选器列表名称输入“允许连接3389”,占击确定
二、添非3389端口网络连接禁止进出
1.点击“添加”
2.输入名称“非3389端口网络连接禁止进出”
点击添加
3.源地址选择“我的IP地址”目标地址选择“任何IP地址”
4.协议类型选择任何
5。
点击确认完成6.点击“关闭”
三、创建策略
1.右击窗口选择“创建IP安全策略”
2.点击下一步,输入名称“只允许访问3389端口,防止监听式/反连式木马”
3.将“激活默认响应规则”打勾去掉,点击完成打开编辑窗口
4.点击添加
选择“此规则不指定隧道”
选择所有网络连接
5.选择“非3389端口。
”
打开筛选器操作,点击添加
名称输入“阻止”,点击下一步
行为选择“阻止”点击完成
6.选择操作为“阻止”
把“编辑属性”打勾去掉,点击完成
同上将“允许连接3389”操作为许可,结果如下,点击确定
四、启用策略。
创建IPsec策略以限制端口
创建IPsec策略以限制端口创建 IPsec 策略以限制端口Internet 协议安全性 (IPsec) 经过专门设计,可用于加密在两台计算机之间传输的数据,以避免其被修改和转译。
要使用 IPsec,必须定义试图连接的计算机如何信任对方,以及计算机如何确保其通信的安全性。
要实现这些规范,应创建和应用 IPsec 策略。
IPsec 策略支持基于策略的监控状态的数据包筛选器规则,此规则可用于IPsec 身份验证和加密以提供可靠的端对端安全性。
例如:创建 IPsec 策略本部分提供了创建示例IPsec 策略的循序渐进说明,该策略仅允许入站请求连接到端口 80 和 443。
端口 80 是 HTTP 请求的默认端口,而端口 443 是HTTPS 请求的默认端口。
该策略可阻止对服务器上所有其他端口的请求。
与一般的防火墙或数据包筛选规则相比,IPsec 策略中不存在定制规则列表的方法。
规则引擎根据相应的特征将通信与规则相匹配。
如果某个数据包与多个规则匹配,则引擎将对数据包应用最明确的规则。
在下例中,与允许连接到端口 80 的筛选器列表匹配的数据包同时也与阻止所有传入通信的筛选器列表相匹配。
由于前一个列表更明确,因此规则引擎将使用该列表来进行决策。
因此,将连接到端口 80 或端口 443 的通信传递给服务器,而阻止任何其他通信。
您必须创建多个筛选器列表来使策略更有效。
创建 IPsec 策略的过程包含几个步骤:1.创建IPsec 筛选器列表。
筛选器列表包括端口、协议和方向,并且当通信与列表中的某项匹配时将触发一个决策。
本例要求您创建三个筛选器列表。
前两个筛选器列表适用于试图连接到端口 80 或 443 的入站通信,而第三个筛选器列表则适用于所有端口。
2.3.设置筛选器操作。
筛选器操作是当通信与筛选器列表匹配时所需的响应。
本例仅使用了其 IIS IPsec 策略的允许和阻止操作。
4.5.创建 IPsec 策略。
IPsec 策略是规则的集合,这些规则是筛选器列表与筛选器操作的相关性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ipseccmd -w REG -p "Block default ports" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK
ipseccmd -w REG -p "Block default ports" -r "Block UDP/137" -f *+0:137:UDP -n BLOCK
ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x
这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。
[代码清单]
@ echo off
rem
rem blockport.bat
rem Spirituel@SMTH
rem
rem This file use the IPsec filters to block default ports of Windows.
你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设置。更加简单的方法是使用ipseccmd命令。
ipseccmd在WindowsXP中没有默认安装,他在XP系统安装盘的
SUPPORT\TOOLS\SUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol,默认应该也没有安装,你自己找找看吧。使用ipseccmd设置筛选,它的主要作用是设置你的筛选规则,为它指定一个名称,同时指定一个策略名称,所谓策略不过是一组筛选规则的集合而已。比如你要封闭TCP135端口的数据双向收发,使用命令:
IPSec可以通过组策略来控制,但我找遍MSDN,也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以,组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local),理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放,读取和修改都很困难。相比之下,上传命令行工具更方便。
具体含义如下:
-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f …… 建立7个筛选器。*表示任何地址(源);0表示本机地址(目标);+表示镜像(双向)筛选。详细语法见ipsecpol -?
-n BLOCK 指定筛选x作是“阻塞”。注意,BLOCK必须是大写。
ipseccmd -w REG -p "Block default ports" -x
@ goto :end
∶inactive
@ echo on
ipseccmd -w REG -p "Block default ports" -y
@ goto :end
2000下 ipsecpol实例
关于ipsecpol和ipseccmd的资料,网上可以找到很多,因此本文就不细说了,只是列举一些实用的例子。
在设置IPSec策略方面,ipseccmd命令的语法和ipsecpol几乎完全一样,所以只以ipsecpol为例:
1,防御rpc-dcom攻击
winxp命令行下ipsec屏蔽不安全的端口 点此下载IPSECCMD
IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据包的加密和认证。不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。
ipseccmd -w REG -p "Block default ports" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK
ipseccmd -w REG -p "Block default ports" -r "Block UDP/123" -f *+0:123:UDP -n BLOCK
echo -o parameter to disable and delete the policy.
if "%1"=="-y" goto :inactive
if "%1"=="-o" goto :delete
@ echo on
ipseccmd -w REG -p "Block default ports" -y
rem You can customize your own policy easily.
rem please refer to README.txt for more details.
rem NOTICE: NO WARRANTY totally. Please use it carefully.
如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。
好了,这样你就可以使用ipsec根据自己的需要方便得自己定制你的筛选规则了。
如果有不安全的端口,或者你不太喜欢的IP地址,你就可以把它们封锁在你的大门之外。
现在,你的机器本身已经基本比较安全了,不必再一接上网线就提心吊胆了。今天天气还不错,赶快放心大胆的去网上冲浪去吧,海岸上有漂亮的贝壳,不要忘了捡几颗送给我哦。
ipseccmd -w REG -p " darkblue" -r "BlockTCP/8048 filter list" -f *+0:135:TCP -n BLOCK -y -o
ipseccmd -w REG -p " darkblue" -r "BlockUDP/8048 filter list" -f *+0:135:TCP -n BLOCK -y -o
ipseccmd -w REG -p "Block default ports" -r "Block UDP/138" -f *+0:138:UDP -n BLOCK
ipseccmd -w REG -p "Block default ports" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK
∶delete
@ echo on
ipseccmd -w REG -p "Block default ports" -y
ipseccmd -w REG -p "Block default ports" -o
∶end
@ echo off
pause
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
这样就只有123.45.67.89可以访问该主机的6129端口了。
IPSec
首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。
XP系统用ipseccmd。
2000下用ipsecpol。
WIN2003下直接就是IPSEC命令。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.d
rem
rem
echo [Usage] blockport [ -o or -y ]
echo set policy of filter rules and and enable them without parameter.
echo -y parameter to make the policy inactive.
-w reg 将配置写入注册表,重启后仍有效。
-x 立刻激活该策略。
2,防止被ping
ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
如果名为myfirewall的策略已存在,则antiping规则将添加至其中。
ipseccmd -w REG -p "Block default ports" -o
ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK
ipseccmd -w REG -p "Block default ports" -r "Block TCP/139" -f *+0:139:TCP -n BLOCK
ipseccmd -w REG -p "Block default ports" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK