基于 Windows 2000 的计算机
有时您可能需要暂时阻止特定端口(例如,在可以安装修复程序之前,或者在已经为计算机指定基于域的 IPSec 策略时) 。要使用 IPSec 策略暂时阻止对 Windows 2000 计算机上的某个端口的访问,请按照下列步骤操作: 1. 访问下面的 Microsoft 网站以下载并安装 Ipsecpol.exe:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp (http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp)
2. 要添加一个动态 BLOCK 筛选以阻止从任何 IP 地址发往您系统的 IP 地址和目标端口的所有数据包,请在命令提示符下键入以下命令,其中 Protocol 和 PortNumber 是变量:
ipsecpol -f [*=0:PortNumber:Protocol]
注重:此命令可动态创建阻止筛选,并且只要 IPSec Policy Agent 服务在运行,该策略就会保持指定状态 。假如重新启动 IPSec 服务或重新启动计算机,此设置将丢失 。假如要在每次重新启动系统时动态重新指定 IPSec 筛选规则,请创建一个启动脚本以重新应用该筛选规则 。假如您要永久性地应用此筛选,请将该筛选配置为静态 IPSec 策略 。“IPSec 策略治理 MMC”治理单元提供用于治理 IPSec 策略配置的图形用户界面 。假如已应用基于域的 IPSec 策略,则 netdiag /test:ipsec /debug 命令可能仅在由具有域治理员凭据的用户执行时才会显示筛选具体信息 。Netdiag.exe 的更新版本将在 Windows 2000 Service Pack 4 中提供,本地治理员可以使用它来查看基于域的 IPSec 策略 。
IPSec 筛选规则和组策略
对于通过组策略设置来指定 IPSec 策略的环境,必须更新整个域的策略才能阻止特定的协议和端口 。在成功配置组策略 IPSec 设置后,您必须强制刷新域中所有基于 Windows Server 2003、Windows XP 和 Windows 2000 的计算机上的组策略设置 。为此,请使用以下命令:
secedit /refreshpolicy machine_policy
IPSec 策略更改将在两个不同轮询间隔之一的间隔内检测到 。对于一个新指定的、应用于 GPO 的 IPSec 策略,该 IPSec 策略将在为组策略轮询间隔设置的时间内应用于客户端,或者当在客户机上运行 secedit /refreshpolicy machine_policy 命令时应用于客户端 。假如已为 GPO 指定了 IPSec 策略并且正在将新的 IPSec 筛选或规则添加到现有策略中,secedit 命令将不会使 IPSec 识别发生更改 。在这种情况下,系统将在基于 GPO 的现有 IPSec 策略自己的轮询间隔内检测到对该 IPSec 策略的修改 。此时间间隔是在该 IPSec 策略的常规选项卡上指定的 。您还可以通过重新启动 IPSec Policy Agent 服务来强制刷新 IPSec 策略设置 。假如 IPSec 服务停止或重新启动,由 IPSec 保护的通讯将中断并将需要几秒钟的时间才能恢复 。这可能导致程序连接被断开,对于主动传输大量数据的连接更是如此 。当 IPSec 策略只应用于本地计算机时,您不必重新启动该服务 。
取消指定和删除 IPSec 策略
基于 Windows Server 2003 和 Windows XP 的计算机
? 具有本地定义的静态策略的计算机 1. 打开命令提示符窗口,然后将工作文件夹设置为安装 Ipsecpol.exe 的文件夹 。
2. 要取消指定您以前创建的筛选,请使用以下命令:
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" –y
例如,要取消指定以前创建的 Block UDP 1434 Filter,请使用以下命令:
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
3. 要删除您创建的筛选,请使用以下命令:
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" –o
例如,要删除“Block UDP 1434 Filter”筛选和以前创建的两个规则,请使用以下命令:
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
推荐阅读
- 母猪饲料如何去选择
- 三星E239使用手记
- 如何设计自己的衣服
- 如何申请灵活就业补贴
- 酷路泽四驱怎么使用
- 如何申请备用邮箱
- 佳通G5100使用感觉
- word中的页面颜色如何设置
- 如何设置小企业的会计科目
- 如何添加音量图标在任务栏