使用IPSec阻止特定网络协议和端口
添加时间: 2008-2-24 13:34:05 作者: Cisco指导 阅读次数:128 来源: http://www.d9soft.com
5. 要向阻止从 Windows 2000 计算机发往任何 IP 地址的 网络 通信的现有“Block UDP 1434 Filter”策略中添加其他筛选规则,请使用以下命令,其中 Protocol 和 PortNumber 是变量。
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK例如,要阻止从基于 Windows 2000 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK注意:您可以使用此命令向策略中添加任意数量的筛选规则(例如,使用此命令通过同一策略阻止多个端口)。
6. 步骤 5 中的策略现在将生效,并将在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:Program FilesSupport Tools,然后键入以下命令:netdiag /test:ipsec /debug如果同时指定了用于入站通信和出站通信的策略(如这些示例中所示),您将收到以下消息:IP 安全 测试。。 . . . . . . . :传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选无名称筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}源地址:0.0.0.0 源掩码:0.0.0.0目标地址:192.168.1.1 目标掩码:255.255.255.255隧道地址:0.0.0.0 源端口:0 目标端口:1434协议:17 TunnelFilter:无标记:入站阻止无名称筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}源地址:192.168.1.1 源掩码:255.255.255.255目标地址:0.0.0.0 目标掩码:0.0.0.0隧道地址:0.0.0.0 源端口:0 目标端口:1434协议:17 TunnelFilter:无标记:出站阻止注意:IP 地址和图形用户界面 (GUID) 号将不同。它们将反映基于 Windows 2000 的计算机的相应内容。
为特定协议和端口添加阻止规则基于 Windows Server 2003 和 Windows XP 的计算机如果基于 Windows Server 2003 和 Windows XP 的计算机现有一个本地指定的静态 IPSec 策略,那么,要为该计算机上的特定协议和端口添加阻止规则,请按照下列步骤操作: 1. 安装 IPSeccmd.exe.IPSeccmd.exe 是 Windows XP SP2 支持工具的一部分。
有关下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:838079 (http://support.microsoft.com/kb/838079/) Windows XP Service Pack 2 支持工具2. 识别当前指定的 IPSec 策略的名称。为此,请在命令提示符下键入以下命令:netdiag /test:ipsec如果已指定策略,您将收到类似于以下内容的消息:IP 安全 测试。。 . . . . . . . : 传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' 3. 如果已为计算机指定了 IPSec 策略(本地或域),请使用以下命令将其他 BLOCK 筛选规则添加到现有的 IPSec 策略中。
注意:在此命令中,Existing_IPSec_Policy_Name、Protocol 和 PortNumber 是变量。
IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK例如,要向现有 Block UDP 1434 Filter 中添加一条筛选规则来阻止对 TCP 端口 80 进行的入站访问,请键入以下命令:IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK
基于 Windows 2000 的计算机如果基于 Windows 2000 的计算机现有一个本地指定的静态 IPSec 策略,那么,要为该计算机上的特定协议和端口添加阻止规则,请按照下列步骤操作: 1. 访问下面的 Microsoft 网站以下载并安装 Ipsecpol.exe:http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp (http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp)
2. 识别当前指定的 IPSec 策略的名称。为此,请在命令提示符下键入以下命令:netdiag /test:ipsec如果已指定策略,您将收到类似于以下内容的消息:IP 安全测试。。 . . . . . . . : 传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' 3. 如果已为计算机指定了 IPSec 策略(本地或域),请使用以下命令将其他 BLOCK 筛选规则添加到现有 IPSec 策略中,其中 Existing_IPSec_Policy_Name、Protocol 和 PortNumber 是变量:ipsecpol -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK例如,要向现有 Block UDP 1434 Filter 中添加一条筛选规则来阻止对 TCP 端口 80 进行的入站访问,请键入以下命令:ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK
为特定协议和端口添加动态阻止策略基于 Windows Server 2003 和 Windows XP 的计算机有时您可能需要暂时阻止对特定端口的访问。例如,在可以安装修复程序之前,或者在已经为计算机指定基于域的 IPSec 策略时,您就可能需要阻止特定的端口。要使用 IPSec 策略暂时阻止对 Windows Server 2003 或 Windows XP 计算机上的某个端口的访问,请按照下列步骤操作: 1. 安装 IPSeccmd.exe.IPSeccmd.exe 是 Windows XP Service Pack 2 支持工具的一部分。
注意:IPSeccmd.exe 将在 Windows XP 和 Windows Server 2003 操作系统中运行,但仅有 Windows XP SP2 支持工具包中提供此工具。
有关如何下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:838079 (http://support.microsoft.com/kb/838079/) Windows XP Service Pack 2 支持工具2. 要添加一个动态 BLOCK 筛选以阻止从任何 IP 地址发往您系统的 IP 地址和目标端口的所有数据包,请在命令提示符下键入以下命令。
注意:在以下命令中,Protocol 和 PortNumber 是变量。
IPSeccmd.exe -f [*=0:PortNumber:Protocol]注意:此命令可动态创建阻止筛选。只要 IPSec Policy Agent 服务在运行,该策略就会保持指定状态。如果重新启动 IPSec Policy Agent 服务或重新启动计算机,此策略将丢失。如果要在每次重新启动系统时动态重新指定 IPSec 筛选规则,请创建一个启动脚本以重新应用该筛选规则。如果您要永久性地应用此筛选,请将该筛选配置为静态 IPSec 策略。“IPSec 策略 管理 MMC”管理单元提供用于管理 IPSec 策略配置的图形用户界面。如果已应用基于域的 IPSec 策略,netdiag /test:ipsec /debug 命令仅在由具有域管理员凭据的用户执行时才会显示筛选详细信息。
使用IPSec阻止特定网络协议和端口(3) 第 [1] [2] [3] [4] 下一页
上一篇文章: 解读DHCP故障,提升网络运行效率之三 下一篇文章: Cisco指导:网络安全的七大误解
相关文章: