云南龙网

  1. 首页 > 云知道 > >

如何使用 IPSec 阻止特定网络协议和端口( 四 )

云知道


注重:-x 开关会立即指定该策略 。假如您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter” 。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关 。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令 。
注重:在此命令中,Protocol 和 PortNumber 是变量:
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=ortNumber:Protocol -n BLOCK
例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令 。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫 。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注重:您可以使用此命令向策略中添加任意数量的筛选规则 。例如,可以使用此命令通过同一策略阻止多个端口 。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效 。但是,假如以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用 。
要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:Program FilesSupport Tools,然后键入以下命令:

netdiag /test:ipsec /debug
正如这些示例中所示,假如同时指定了用于入站通信和出站通信的策略,您将收到以下消息:
IP 安全测试 。. . . . . . . . :
传递的本地 IPSec 策略活动:"Block UDP 1434 Filter" IP 安全策略路径:SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注重:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同 。;
基于 Windows 2000 的计算机
对于没有启用本地定义的 IPSec 策略的系统,请按照下列步骤创建一个新的本地静态策略,以阻止定向到未指定现有 IPSec 策略的 Windows 2000 计算机上的特定协议和端口的通信: 1. 验证 IPSec Policy Agent 服务已在“服务 MMC”治理单元中启用并启动 。
2. 访问下面的 Microsoft 网站以下载并安装 Ipsecpol.exe:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.ASP (http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp)
3. 打开命令提示符窗口,然后将工作文件夹设置为安装 Ipsecpol.exe 的文件夹 。
注重:Ipsecpol.exe 的默认文件夹是 C:Program FilesResource Kit 。
4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的 Windows 2000 计算机的 IP 地址的网络通信,请使用以下命令,其中 Protocol 和 PortNumber 是变量:
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
例如,要阻止从任何 IP 地址和任何源端口发往基于 Windows 2000 的计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令 。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击 。

推荐阅读


上一篇:母猪饲料如何去选择

下一篇:七步洗手法口诀是什么?