中财网snuke festival:关于IPSEC组策略,原先一直用在服务器安全配置上的,可以当个内部的防火墙
来源:百度文库 编辑:中财网 时间:2024/04/28 03:38:27
什么是IPSEC我就不多说了,大家就当是个内嵌的防火墙好了
以前一直给服务器做的部署.当然了,也在普通PC上也是可以的
设置所在位置,控制面板--本地安全策略---IP安全策略
2008-12-28 20:52:48 上传下载附件 (43.92 KB)
以前基本都是手工配的,比较繁琐
现在使用ipseccmd.exe这个微软组策略命令,做个批处理设置组策略的IPSEC 那就方便很多了
做个简单的演示吧
------------------------------------------------------------------------------------------------------------------------------------
@echo off
ipseccmd -w REG -p "freesky" -o -x >nul
ipseccmd -w REG -p "freesky" -x >nul
ipseccmd -w REG -p "freesky" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "freesky" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul
echo 禁止Location Service服务!
echo.
echo 任意键退出!
pause>nul
---------------------------------------------------------------------------------------------------------------------------------------------
其实就是禁用外部所有IP到本地IP的TCP与UDP的135端口,将上面代码保存成BAT文件,
运行后产生 freesky 新的IPSEC安全组策略
大家可以打开现在的本地安全策略看看,是否有了freesky这个项,
2008-12-28 20:52:48 上传下载附件 (34.03 KB)
点开看看,是不是有两条关于禁135的策略,一条是TCP的一条是UDP的
2008-12-28 20:52:48 上传下载附件 (58.95 KB)
其他的可以参考以上命令,比如可以禁止别人PING自己啊,禁止远程桌面,禁止SQL数据库等等,说白了就是封堵端口
禁PING
ipseccmd -w REG -p "freesky" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
禁远程桌面
ipseccmd -w REG -p "freesky" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x
禁SQL的
ipseccmd -w REG -p "freesky" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x
ipseccmd -w REG -p "freesky" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
ipseccmd.exe的常用的参数如下:
-w reg 表明将配置写入注册表,重启后仍有效。
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
-r 指定规则名称。
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
-x 激活该策略。
-y 使之无效。
-o 删除-p指定的策略。
其中最关键的是-f。它用来设置你的过滤规则,
使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,
0代表我自己的IP地址。还可以使用通配符,比如192.168.*.* 等效于
192.168.0.0/255.255.0.0。
上文中的-f *+0 其实就是 任意的源地址到本地地址,双向的某端口
使用ipseccmd /?可以获得它的帮助。
以前一直给服务器做的部署.当然了,也在普通PC上也是可以的
设置所在位置,控制面板--本地安全策略---IP安全策略
2008-12-28 20:52:48 上传下载附件 (43.92 KB) 以前基本都是手工配的,比较繁琐
现在使用ipseccmd.exe这个微软组策略命令,做个批处理设置组策略的IPSEC 那就方便很多了
做个简单的演示吧
------------------------------------------------------------------------------------------------------------------------------------
@echo off
ipseccmd -w REG -p "freesky" -o -x >nul
ipseccmd -w REG -p "freesky" -x >nul
ipseccmd -w REG -p "freesky" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "freesky" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul
echo 禁止Location Service服务!
echo.
echo 任意键退出!
pause>nul
---------------------------------------------------------------------------------------------------------------------------------------------
其实就是禁用外部所有IP到本地IP的TCP与UDP的135端口,将上面代码保存成BAT文件,
运行后产生 freesky 新的IPSEC安全组策略
大家可以打开现在的本地安全策略看看,是否有了freesky这个项,
2008-12-28 20:52:48 上传下载附件 (34.03 KB) 点开看看,是不是有两条关于禁135的策略,一条是TCP的一条是UDP的
2008-12-28 20:52:48 上传下载附件 (58.95 KB) 其他的可以参考以上命令,比如可以禁止别人PING自己啊,禁止远程桌面,禁止SQL数据库等等,说白了就是封堵端口
禁PING
ipseccmd -w REG -p "freesky" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
禁远程桌面
ipseccmd -w REG -p "freesky" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x
禁SQL的
ipseccmd -w REG -p "freesky" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x
ipseccmd -w REG -p "freesky" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
ipseccmd.exe的常用的参数如下:
-w reg 表明将配置写入注册表,重启后仍有效。
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
-r 指定规则名称。
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
-x 激活该策略。
-y 使之无效。
-o 删除-p指定的策略。
其中最关键的是-f。它用来设置你的过滤规则,
使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,
0代表我自己的IP地址。还可以使用通配符,比如192.168.*.* 等效于
192.168.0.0/255.255.0.0。
上文中的-f *+0 其实就是 任意的源地址到本地地址,双向的某端口
使用ipseccmd /?可以获得它的帮助。
关于域服务器使用控制器设定组策略的问题
最近老是收到icmp包裹 用ip策略提示“ipsec 服务”服务不在运行状态 这是怎么回事啊
关于组策略!
关于组策略
关于组策略
关于组策略
关于XP组策略
关于组策略在XP SP2中的问题
为什么在本地组策略中无法看见域服务器中的用户?
关于网络安全协议IPSEC的疑问
关于组策略的问题.
关于组策略的问题??
关于组策略的问题
关于组策略的问题
关于组策略的问题?
关于组策略、和帐户
我是用运行打开组策略的 一般组策略会放在哪
组策略编辑器在哪里?
今天在原先打过耳钉地方又打了一个,可是一直有点痛
我是用运行打开组策略的,组策略还有什么不用通过运行 就能找到的. 一般组策略会放在哪?
关于windows xp组策略的问题
关于组策略的问题,求救
关于组策略的问题(在线等)
关于组策略中的释放带宽问题