使用IPSec阻止特定网络协议和端口
添加时间: 2008-2-24 13:34:05 作者: Cisco指导 阅读次数:128 来源: http://www.d9soft.com
创建用于阻止通信的静态策略基于 Windows Server 2003 和 Windows XP 的计算机对于没有启用本地定义的 IPSec 策略的系统,请创建一个新的本地静态策略,以阻止定向到 Windows Server 2003 和 Windows XP 计算机上的特定协议和特定端口的通信。为此,请按照下列步骤操作: 1. 验证 IPSec Policy Agent 服务已在“服务 MMC” 管理 单元中启用并启动。
2. 安装 IPSeccmd.exe.IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。
注意:IPSeccmd.exe 将在 Windows XP 和 Windows Server 2003 操作系统中运行,但仅有 Windows XP SP2 支持工具包中提供此工具。
有关下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:838079 (http://support.microsoft.com/kb/838079/) Windows XP Service Pack 2 支持工具3. 打开命令提示符窗口,然后将工作文件夹设置为安装 Windows XP Service Pack 2 支持工具的文件夹。
注意:Windows XP SP2 支持工具的默认文件夹是 C:Program FilesSupport Tools. 4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的 Windows Server 2003 或 Windows XP 计算机的 IP 地址的 网络 通信,请使用以下命令。
注意:在以下命令中,Protocol 和 PortNumber 是变量。
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0ortNumberrotocol -n BLOCK –x例如,要阻止从任何 IP 地址和任何源端口发往 Windows Server 2003 或 Windows XP 计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x以下示例可阻止对 TCP 端口 80 的入站访问,但是仍然允许出站 TCP 80 访问。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”蠕虫和“Nimda”蠕虫的攻击。
IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x注意:-x 开关会立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令。
注意:在此命令中,Protocol 和 PortNumber 是变量:IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=ortNumber:Protocol -n BLOCK例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK注意:您可以使用此命令向策略中添加任意数量的筛选规则。例如,可以使用此命令通过同一策略阻止多个端口。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。
要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:Program FilesSupport Tools,然后键入以下命令:netdiag /test:ipsec /debug正如这些示例中所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息:IP 安全 测试。。 . . . . . . . :传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选无名称筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}源地址:0.0.0.0 源掩码:0.0.0.0目标地址:192.168.1.1 目标掩码:255.255.255.255隧道地址:0.0.0.0 源端口:0 目标端口:1434协议:17 TunnelFilter:无标记:入站阻止无名称筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}源地址:192.168.1.1 源掩码:255.255.255.255目标地址:0.0.0.0 目标掩码:0.0.0.0隧道地址:0.0.0.0 源端口:0 目标端口:1434协议:17 TunnelFilter:无标记:出站阻止注意:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同。
基于 Windows 2000 的计算机对于没有启用本地定义的 IPSec 策略的系统,请按照下列步骤创建一个新的本地静态策略,以阻止定向到未指定现有 IPSec 策略的 Windows 2000 计算机上的特定协议和端口的通信: 1. 验证 IPSec Policy Agent 服务已在“服务 MMC” 管理 单元中启用并启动。
2. 访问下面的 Microsoft 网站以下载并安装 Ipsecpol.exe:http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp (http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp)
3. 打开命令提示符窗口,然后将工作文件夹设置为安装 Ipsecpol.exe 的文件夹。
注意:Ipsecpol.exe 的默认文件夹是 C:Program FilesResource Kit. 4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的 Windows 2000 计算机的 IP 地址的 网络 通信,请使用以下命令,其中 Protocol 和 PortNumber 是变量:ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x例如,要阻止从任何 IP 地址和任何源端口发往基于 Windows 2000 的计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击。
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x以下示例可阻止对 TCP 端口 80 的入站访问,但是仍然允许出站 TCP 80 访问。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”蠕虫和“Nimda”蠕虫的攻击。
使用IPSec阻止特定网络协议和端口(2) 第 [1] [2] [3] [4] 下一页
上一篇文章: 解读DHCP故障,提升网络运行效率之三 下一篇文章: Cisco指导:网络安全的七大误解
相关文章: