云南龙网

  1. 首页 > 云知道 > >

如何使用 IPSec 阻止特定网络协议和端口( 五 )

云知道


ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
以下示例可阻止对 TCP 端口 80 的入站访问,但是仍然答应出站 TCP 80 访问 。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”蠕虫和“Nimda”蠕虫的攻击 。
ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
注重:-x 开关会立即指定该策略 。假如您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter” 。要添加但不指定该策略,请在键入该命令时不在结尾带 -x 开关 。
5. 要向阻止从 Windows 2000 计算机发往任何 IP 地址的网络通信的现有“Block UDP 1434 Filter”策略中添加其他筛选规则,请使用以下命令,其中 Protocol 和 PortNumber 是变量 。
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
例如,要阻止从基于 Windows 2000 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令 。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫 。
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注重:您可以使用此命令向策略中添加任意数量的筛选规则(例如,使用此命令通过同一策略阻止多个端口) 。
6. 步骤 5 中的策略现在将生效,并将在每次重新启动计算机后都会生效 。但是,假如以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用 。要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:Program FilesSupport Tools,然后键入以下命令:
netdiag /test:ipsec /debug

假如同时指定了用于入站通信和出站通信的策略(如这些示例中所示),您将收到以下消息:
IP 安全测试 。. . . . . . . . :
传递的本地 IPSec 策略活动:"Block UDP 1434 Filter" IP 安全策略路径:SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注重:IP 地址和图形用户界面 (GUID) 号将不同 。它们将反映基于 Windows 2000 的计算机的相应内容 。;
为特定协议和端口添加阻止规则
基于 Windows Server 2003 和 Windows XP 的计算机
假如基于 Windows Server 2003 和 Windows XP 的计算机现有一个本地指定的静态 IPSec 策略,那么,要为该计算机上的特定协议和端口添加阻止规则,请按照下列步骤操作: 1. 安装 IPSeccmd.exe 。IPSeccmd.exe 是 Windows XP SP2 支持工具的一部分 。
有关下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
838079 (http://support.microsoft.com/kb/838079/) Windows XP Service Pack 2 支持工具;
2. 识别当前指定的 IPSec 策略的名称 。为此,请在命令提示符下键入以下命令:
netdiag /test:ipsec
假如已指定策略,您将收到类似于以下内容的消息:
IP 安全测试 。. . . . . . . . : 传递的

推荐阅读


上一篇:母猪饲料如何去选择

下一篇:七步洗手法口诀是什么?