更詳細的資料請參考微軟的技術資源庫:
Netsh Commands for Internet Protocol Security (IPsec)
連接如下:http://technet.microsoft.com/zh-cn/cc725926
備注:注意連接里的 Netsh Commands for Windows Firewall with Advanced Security.連接,他給你的幫助會更大;
導出IPsec安全策略:Netsh ipsec static exportpolicy file = d:/ExportSecurity.ipsec
導入IPsec安全策略:Netsh ipsec static importpolicy file = d:/ImportSecurity.ipsec
1、建立一個新的策略
1.1首先建立一個空的安全策略[Michael's安全策略]
Netsh ipsec static add policy name = Michael's安全策略
1.2建立一個篩選器操作”阻止”
Netsh ipsec static add filteraction name = 阻止 action =block
1.3建立一個篩選器列表“可訪問的終端列表”
Netsh ipsec static add filterlist name =可訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表
srcaddr=203.86.32.248
dstaddr = me dstport = 3389
description = 部門1訪問 protocol =TCP mirrored = yes
Netsh ipsec static add filter filterlist = 可訪問的終端列表
Srcaddr = 203.86.31.0 srcmask=255.255.255.0
dstaddr = 60.190.145.9 dstport = 0
description = 部門2訪問 protocol =any mirrored = yes
1.4建立策略規則
Netsh ipsec static add rule name =可訪問的終端策略規則
Policy = Michael's安全策略
filterlist =可訪問的終端列表
filteraction = 阻止
2、修改策略
netsh ipsec static set filter filterlist = 可訪問的終端列表
srcaddr = 220.207.31.249
dstaddr = Me dstport=3389 protocol=TCP
3、刪除策略
netsh ipsec static delete rule name = 可訪問的終端策略規則 policy = Michael's安全策略
netsh ipsec static delete filterlist name = 可訪問的終端列表
4、最最重要的一步是激活;
netsh ipsec static set policy name = Michael's安全策略 assign = y
以下提供一個我自己寫的實例: 復制代碼 代碼如下:
echo 創建安全策略
Netsh IPsec static add policy name = APU安全策略
echo 創建篩選器是阻止的操作
Netsh IPsec static add filteraction name = 阻止 action = block
echo 創建篩選器是允許的操作
Netsh IPsec static add filteraction name = 允許 action = permit
echo 建立一個篩選器可以訪問的終端列表
Netsh IPsec static add filterlist name = 可訪問的終端列表
Netsh IPsec static add filter filterlist = 可訪問的終端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
echo 建立一個篩選器可以訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes
echo 建立策略規則
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = APU安全策略 filterlist = 可訪問的終端列表 filteraction = 阻止
echo 激活策略
netsh ipsec static set policy name = APU安全策略 assign = y
pause
或者 復制代碼 代碼如下:
Netsh ipsec static add policy name = 默認策略名稱
pause
Netsh ipsec static add filteraction name = 阻止操作 action = block
pause
Netsh ipsec static add filteraction name = 允許操作 action = permit
pause
Netsh ipsec static add filterlist name = 訪問列表
pause
Netsh ipsec static add filterlist name = 阻止列表
pause
Netsh ipsec static add filter filterlist = 訪問列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
pause
Netsh ipsec static add filter filterlist = 訪問列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol = any mirrored = yes
pause
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表1 filteraction = 阻止操作
pause
Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表2 filteraction = 阻止操作
pause
netsh ipsec static set policy name = 默認策略名稱 assign = y
pause
[以下是轉載未經過測試,百度上都可以找的到。] 復制代碼 代碼如下:
REM =================開始================
netsh ipsec static ^
add policy name=bim
REM 添加2個動作,block和permit
netsh ipsec static ^
add filteraction name=Permit action=permit
netsh ipsec static ^
add filteraction name=Block action=block
REM 首先禁止所有訪問
netsh ipsec static ^
add filterlist name=AllAccess
netsh ipsec static ^
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any
netsh ipsec static ^
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block
REM 開放某些IP無限制訪問
netsh ipsec static ^
add filterlist name=UnLimitedIP
netsh ipsec static ^
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me
netsh ipsec static ^
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit
REM 開放某些端口
netsh ipsec static ^
add filterlist name=OpenSomePort
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static ^
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit
REM 開放某些ip可以訪問某些端口
netsh ipsec static ^
add filterlist name=SomeIPSomePort
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP
netsh ipsec static ^
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit
前言:
IPSec的全稱是Internet Protocol Security,翻譯成中文就是Internet協議安全性。它的作用主要有兩個:一個是保護 IP 數據包的內容,另外一點就是通過數據包篩選并實施受信任通訊來防御網絡攻擊。這對于我們當有一些重要的數據在傳輸的過程中需要加以保護或者防止監聽來說無疑是一個好消息,因為Windows 2000已經內置了這個功能,我們不再需要借助其他的工具以實現這個目的了。
由于是在IP層進行對數據的對稱加密,封裝的是整個的IP數據包,所以不需要為 TCP/IP 協議組中的每個協議設置單獨的安全性,因為應用程序使用 TCP/IP 來將數據傳遞到 IP 協議層,并在這里進行保護。相應的IPSec配置相對復雜,但是對于應用程序來說是透明的,因此不要求應用程序必須支持。下面分幾個部分對IPSec的概念、工作過程和實踐應用等幾個方面加以闡述:
一、 IPSec的工作的過程:
兩臺計算機在通訊的時候,如果已經設置好IPSec的策略,主機在通訊的時候會檢查這個策略,策略在應用到主機的時候會有一個協商的過程,這個過程通過Security Association來實現。協商后根據Policy的配置,兩臺計算機之間建立一個加密的連接,數據進行加密傳輸。驅動程序將解密的數據包傳輸給TCP/IP的驅動程序,然后傳輸給接收端的應用程序。
二、 進入IPSec控制界面:
有兩種方式可以打開,功能是完全一樣的:
開始-運行-管理工具-本地安全策略
MMC-添加/刪除管理單元-添加-IP安全管理策略-確定
三、 預定義的策略:
缺省的是沒有啟用IPSec,需要進行指派。我們可以發現系統已經給我們定義了三個策略,下面非別進行介紹。
安全服務器:必須使用IPSec,如果對方不使用IPSec,則通訊無法完成。用于始終需要安全通訊的計算機。
客戶端:功能是缺省在通訊過程中不使用IPSec,如果對方要求IPSec,它也可以使用IPSec。用于在大部分時間不能保證通訊的計算機。
服務器:功能是缺省使用IPSec,但是對方如果不支持IPSec,也可以不使用IPSec。用于在大部分時間能保證通訊的計算機。
策略可以在單臺計算機上進行指派,也可以在組策略上批量進行指派。值得注意的是為了達到可以通過協商后進行通訊,所以通訊的兩端都需要設置同樣的策略并加以指派。
四、 IPSec的工作方式:
傳送模式(計算機之間安全性配置):保護兩個主機之間的通訊,是默認的IPSec模式。傳送模式只支持Windows2000操作系統,提供點對點的安全性。
隧道模式(網絡之間安全性配置):封裝、發送和拆封過程稱之為“隧道”。一般實現方法是在兩個路由器上完成的。在路由器兩端配置使用IPSec,保護兩個路由器之間的通訊。主要用于廣域網上,不提供各個網絡內部的安全性。
五、 IPSec的身份驗證方法:
Kerberos V5:(默認)如果是在一個域中的成員,又是Kerberos V5協議的客戶機,選擇這一項。比如一個域中的Windows 2000的計算機。
證書:需要共同配置信任的CA。
預共享密鑰:雙方在設置策略的時候使用一段共同協商好的密鑰。
以上三種方法都可以作為身份驗證的方法,一般在日常工作當中,如果是域中的Windows 2000的計算機之間就采用Kerberos的認證方式,由于國內CA用的實在不多,一般其他情況下可以采用第三種方式,雙方協商一段密鑰,這個在后面的例子二中還會涉及。
六、 IPSec的加密模式:
身份驗證加密技術:
SNA
MD5
數據包加密技術:
40-bit DES
56-bit DES
3DES:最安全的加密方法,相應的也會消耗更多的系統資源。
以上的概念性的東西大家可以查閱相關資料,這里就不多多講述了。
七、 應用:
以上概念性的東西說了很多,下面正式進入實戰,將通過兩個例子把IPSec的兩方面的功能進行說明。
1、 保護IP數據包的內容:為了保護兩個主機之間的通訊信息的安全性,我們將利用IPsec的在兩臺計算機之間建立一個安全連接。采用預共享密鑰方式,并強制使用IPSec進行通訊加密。例子中有兩臺計算機,第一臺計算機IP為192.168.0.1,第二臺計算機IP為192.168.0.2,如果沒有特殊說明,操作是在第一臺計算機上進行。
(1)、進入IPSec控制界面,右鍵點擊“安全服務器”,選中屬性(系統已經內置了三條規則,大家可以自己詳細的看一下作用,為了演示策略的添加過程我們采用自己添加的方式)。點擊“添加”按鈕。
(2)、進入安全規則向導,點擊“下一步”按鈕。
(3)、根據實際情況,我們是實現兩臺主機之間的安全通訊,不是網絡之間的,所以選擇“此規則不指定隧道”,因此我們將采用傳送模式。點擊“下一步”按鈕。
(4)、進入了選擇網絡類型的界面,可以選擇的有三種方式,概念應該很好理解了,我們選擇“所有網絡連接”,點擊“下一步”按鈕。
(5)、進入了身份驗證方法的界面,三種驗證方法在上文中已經介紹,我們選擇第三種“此字串用來保護密鑰交換(預共享密鑰)”,然后在對話框中輸入我們協商好的密鑰,比如“hello”。點擊“下一步”按鈕。
(6)、進入了“IP篩選器列表”界面,由于我們是要保護全部的通訊,所有選擇“所有IP通訊”,當然也可以自己添加新的篩選器列表,這部分內容在第二個例子中會提到,點擊“下一步”按鈕。
(7)、進入“篩選器操作”界面,根據我們前面提到的要求,我們選擇要求安全設置,這里的篩選器操作也是可以自己添加的,例子二中也會提到,點擊“下一步”按鈕。
(8)、至此安全規則創建完畢,我們點擊“完成”。
(9)、會到開始的端口,我們會發現已經增加了我們新增加的安全規則。除了選中我們自己創建的規則以外,我們把其他默認規則的對勾點無。
(10)、最后,也是非常重要的一點,我們要對我們創建的策略進行指派,否則策略不會自己生效,點擊“安全服務器”右鍵,點擊“指派”。
(11)、這個時候我們打開一個窗口,開始使用Ping命令,檢查我們的通訊狀況。例子中的第二臺計算機的IP地址為192.168.0.2,我們執行Ping 192.168.0.2
主站蜘蛛池模板:
91av在线影院
|
亚洲精品wwww
|
91短视频在线免费观看
|
男女无套免费视频
|
中国av免费在线观看
|
欧美黄色视屏
|
免费观看三级毛片
|
蜜桃av鲁一鲁一鲁一鲁
|
精品黑人一区二区三区国语馆
|
久久3|
91看片免费版
|
日韩中文字幕一区二区三区
|
爽毛片
|
国产亚洲精品久久久久5区
男人天堂免费
|
久久精品中文字幕一区二区三区
|
成人免费视频
|
欧美a在线观看
|
羞羞网站在线观看入口免费
|
久久无毛
|
欧美不卡视频在线观看
|
91成人午夜性a一级毛片
|
一本一道久久久a久久久精品91
|
久久91亚洲精品久久91综合
|
欧美一级片在线
|
国产艳妇av视国产精选av一区
|
羞羞视频在线免费
|
亚洲第一成av人网站懂色
|
久久欧美亚洲另类专区91大神
|
欧美成人精品一区
|
97超碰资源站
|
色播视频在线播放
|
国产精品久久久久国产精品三级
|
草莓视频久久
|
国产人成精品综合欧美成人
|
羞羞电影在线观看
|
中文字幕综合在线观看
|
色中色在线播放
|
久久影院午夜
|
久久久国产精品免费观看
|
久久亚洲线观看视频
|
av国产在线被下药迷网站
|