云南龙网

  1. 首页 > 云知道 > >

如何使用 IPSec 阻止特定网络协议和端口( 八 )

云知道


具有本地定义的动态策略的计算机
假如通过使用 net stop policyagent 命令停止 IPSec Policy Agent 服务,将取消应用动态 IPSec 策略 。要删除以前使用的特定命令而不停止 IPSec Policy Agent 服务,请按照下列步骤操作: 1. 打开命令提示符窗口,然后将工作文件夹设置为安装 Windows XP Service Pack 2 支持工具的文件夹 。
2. 键入下面的命令:

IPSeccmd.exe –u
注重:您还可以重新启动 IPSec Policy Agent 服务以清除所有动态指定的策略 。
基于 Windows 2000 的计算机
? 具有本地定义的静态策略的计算机 1. 打开命令提示符窗口,然后将工作文件夹设置为安装 Ipsecpol.exe 的文件夹 。
2. 要取消指定您以前创建的筛选,请使用以下命令:
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" –y
例如,要取消指定以前创建的 Block UDP 1434 Filter,请使用以下命令:
ipsecpol -w REG -p "Block UDP 1434 Filter" -y
3. 要删除您创建的筛选,请使用以下命令:
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" –o
例如,要删除“Block UDP 1434 Filter”筛选和以前创建的两个规则,请使用以下命令:
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
具有本地定义的动态策略的计算机
假如通过使用 net stop policyagent 命令停止 IPSec Policy Agent 服务,将取消应用动态 IPSec 策略 。但是,要删除以前使用的特定命令而不停止 IPSec Policy Agent 服务,请按照下列步骤操作: 1. 打开命令提示符窗口,然后将工作文件夹设置为安装 Ipsecpol.exe 的文件夹 。
2. 键入下面的命令:
Ipsecpol –u
注重:您还可以重新启动 IPSec Policy Agent 服务以清除所有动态指定的策略 。
将您的新筛选规则应用到所有协议和端口
默认情况下,在 Microsoft Windows 2000 和 Microsoft Windows XP 中,IPSec 使得广播、多路广播、RSVP、IKE 和 Kerberos 通信免于受到任何筛选和身份验证的限制 。有关这些豁免的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
253169 (http://support.microsoft.com/kb/253169/) IPSec 可以保护的和无法保护的通信
当 IPSec 只用于答应和阻止通信时,可以通过更改注册表值来删除对 Kerberos 和 RSVP 协议的豁免 。有关如何执行此操作的完整说明,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
254728 (http://support.microsoft.com/kb/254728/) IPSec 不保护域控制器之间的 Kerberos 通信
通过按照这些说明进行操作,即使攻击者将他们的源端口设置为 Kerberos 端口 TCP/UDP 88,您也可以保护 UDP 1434 。通过删除 Kerberos 豁免,现在可以将 Kerberos 数据包与 IPSec 策略中的所有筛选进行匹配 。因此,可以在 IPSec 内部对 Kerberos 进行保护(阻止或答应) 。这样,假如 IPSec 筛选与发往域控制器 IP 地址的 Kerberos 通信匹配,您可能必须更改 IPSec 策略设计来添加新的筛选,以便答应发往各个域控制器 IP 地址的 Kerberos 通信(假如您没有按照知识库文章 254728 的说明使用 IPSec 来保护域控制器之间的所有通信) 。
【如何使用 IPSec 阻止特定网络协议和端口】在计算机重新启动时应用 IPSec 筛选规则
所有 IPSec 策略均依靠于要指定的 IPSec Policy Agent 服务 。当基于 Windows 2000 的计算机正在启动过程中时,IPSec Policy Agent 服务未必是第一个启动的服务 。这样,计算机的网络连接可能会在某个很短的时间内轻易受到病毒或蠕虫的攻击 。这种情况仅在满足以下条件时才会发生:IPSec Policy Agent 服务尚未完全启动并指定所有策略,存在潜在漏洞的服务便已成功启动并开始接受连接 。;

推荐阅读


上一篇:母猪饲料如何去选择

下一篇:七步洗手法口诀是什么?