云南龙网

  1. 首页 > 云知道 > >

如何使用 IPSec 阻止特定网络协议和端口( 六 )

云知道


本地 IPSec 策略活动:"Block UDP 1434 Filter"
3. 假如已为计算机指定了 IPSec 策略(本地或域),请使用以下命令将其他 BLOCK 筛选规则添加到现有的 IPSec 策略中 。
注重:在此命令中,Existing_IPSec_Policy_Name、Protocol 和 PortNumber 是变量 。
IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
例如,要向现有 Block UDP 1434 Filter 中添加一条筛选规则来阻止对 TCP 端口 80 进行的入站访问,请键入以下命令:
IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK
基于 Windows 2000 的计算机
假如基于 Windows 2000 的计算机现有一个本地指定的静态 IPSec 策略,那么,要为该计算机上的特定协议和端口添加阻止规则,请按照下列步骤操作: 1. 访问下面的 Microsoft 网站以下载并安装 Ipsecpol.exe:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp (http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp)
2. 识别当前指定的 IPSec 策略的名称 。为此,请在命令提示符下键入以下命令:
netdiag /test:ipsec
假如已指定策略,您将收到类似于以下内容的消息:
IP 安全测试 。. . . . . . . . : 传递的
本地 IPSec 策略活动:"Block UDP 1434 Filter"
3. 假如已为计算机指定了 IPSec 策略(本地或域),请使用以下命令将其他 BLOCK 筛选规则添加到现有 IPSec 策略中,其中 Existing_IPSec_Policy_Name、Protocol 和 PortNumber 是变量:
ipsecpol -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
例如,要向现有 Block UDP 1434 Filter 中添加一条筛选规则来阻止对 TCP 端口 80 进行的入站访问,请键入以下命令:
ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK
为特定协议和端口添加动态阻止策略
基于 Windows Server 2003 和 Windows XP 的计算机
有时您可能需要暂时阻止对特定端口的访问 。例如,在可以安装修复程序之前,或者在已经为计算机指定基于域的 IPSec 策略时,您就可能需要阻止特定的端口 。要使用 IPSec 策略暂时阻止对 Windows Server 2003 或 Windows XP 计算机上的某个端口的访问,请按照下列步骤操作: 1. 安装 IPSeccmd.exe 。IPSeccmd.exe 是 Windows XP Service Pack 2 支持工具的一部分 。
注重:IPSeccmd.exe 将在 Windows XP 和 Windows Server 2003 操作系统中运行,但仅有 Windows XP SP2 支持工具包中提供此工具 。
有关如何下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

838079 (http://support.microsoft.com/kb/838079/) Windows XP Service Pack 2 支持工具;
2. 要添加一个动态 BLOCK 筛选以阻止从任何 IP 地址发往您系统的 IP 地址和目标端口的所有数据包,请在命令提示符下键入以下命令 。
注重:在以下命令中,Protocol 和 PortNumber 是变量 。
IPSeccmd.exe -f [*=0:PortNumber:Protocol]
注重:此命令可动态创建阻止筛选 。只要 IPSec Policy Agent 服务在运行,该策略就会保持指定状态 。假如重新启动 IPSec Policy Agent 服务或重新启动计算机,此策略将丢失 。假如要在每次重新启动系统时动态重新指定 IPSec 筛选规则,请创建一个启动脚本以重新应用该筛选规则 。假如您要永久性地应用此筛选,请将该筛选配置为静态 IPSec 策略 。“IPSec 策略治理 MMC”治理单元提供用于治理 IPSec 策略配置的图形用户界面 。假如已应用基于域的 IPSec 策略,netdiag /test:ipsec /debug 命令仅在由具有域治理员凭据的用户执行时才会显示筛选具体信息 。

推荐阅读


上一篇:母猪饲料如何去选择

下一篇:七步洗手法口诀是什么?