首页 > 应用 > 软件技巧 > 正文

ipseccmd IP安全策略命令解析

2024-07-16 17:45:02
字体:
来源:转载
供稿:网友
IPSec
首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。

XP系统用ipseccmd 本站附件下载

2000下用ipsecpol。
WIN2003下直接就是IPSEC命令。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT/TOOLS/SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。三个文件一共119KB。


winxp命令行下ipsec屏蔽不安全的端口

IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据
包的加密和认证。不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。

你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设
置。更加简单的方法是使用ipseccmd命令。

ipseccmd在WindowsXP中没有默认安装,他在XP系统安装盘的
SUPPORT/TOOLS/SUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol,默认
应该也没有安装,你自己找找看吧。


使用ipseccmd设置筛选,它的主要作用是设置你的筛选规则,为它指定一个名称,
同时指定一个策略名称,所谓策略不过是一组筛选规则的集合而已。比如你要封
闭TCP135端口的数据双向收发,使用命令:

ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x

这里我们使用的是静态模式,常用的参数如下:
-w reg 表明将配置写入注册表,重启后仍有效。
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
-r 指定规则名称。
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
-x 激活该策略。
-y 使之无效。
-o 删除-p指定的策略。
其中最关键的是-f。它用来设置你的过滤规则,格式为
A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址,后面
是目的地址。如果使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,
0代表我自己的IP地址。还可以使用通配符,比如144.92.*.* 等效于
144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。

如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。
参考下面代码清单。

好了,这样你就可以使用ipsec根据自己的需要方便得自己定制你的筛选规则了。
如果有不安全的端口,或者你不太喜欢的IP地址,你就可以把它们封锁在你的大
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表