ipseccmd IP安全策略命令解析
IPSec
首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。
2000下用ipsecpol。
WIN2003下直接就是IPSEC命令。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。三个文件一共119KB。
winxp命令行下ipsec屏蔽不安全的端口
IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据
包的加密和认证。不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。
你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设
置。更加简单的方法是使用ipseccmd命令。
ipseccmd在WindowsXP中没有默认安装,他在XP系统安装盘的
SUPPORT\TOOLS\SUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol,默认
应该也没有安装,你自己找找看吧。
使用ipseccmd设置筛选,它的主要作用是设置你的筛选规则,为它指定一个名称,
同时指定一个策略名称,所谓策略不过是一组筛选规则的集合而已。比如你要封
闭TCP135端口的数据双向收发,使用命令:
ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x
这里我们使用的是静态模式,常用的参数如下:
-w reg 表明将配置写入注册表,重启后仍有效。
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
-r 指定规则名称。
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
-x 激活该策略。
-y 使之无效。
-o 删除-p指定的策略。
其中最关键的是-f。它用来设置你的过滤规则,格式为
A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址,后面
是目的地址。如果使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,
0代表我自己的IP地址。还可以使用通配符,比如144.92.*.* 等效于
144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。
如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。
参考下面代码清单。
好了,这样你就可以使用ipsec根据自己的需要方便得自己定制你的筛选规则了。
如果有不安全的端口,或者你不太喜欢的IP地址,你就可以把它们封锁在你的大
门之外。
现在,你的机器本身已经基本比较安全了,不必再一接上网线就提心吊胆了。今天
天气还不错,赶快放心大胆的去网上冲浪去吧,海岸上有漂亮的贝壳,不要忘了
捡几颗送给我哦。
=========================麻烦一点的讲解=============================
Ipseccmd
在目录服务或本地(远程)注册表中配置 Internet 协议安全 (IPSec) 策略。Ipseccmd 是与 IP 安全策略 Microsoft 管理控制台 (MMC) 管理单元功能相同的另一种命令行管理工具,具有三种模式:动态模式 (dynamic mode)、静态模式 (static mode) 和查询模式 (query mode)。
若要查看该命令语法,请单击以下命令:
ipseccmd dynamic mode
可以利用 Ipseccmd 动态模式将匿名规则添加到现有的 IPSec 策略中,方法是将这些规则添加到 IPSec 安全策略数据库。即使重新启动 IPSEC 服务后,所添加的规则也会存在。使用动态模式的好处在于所添加的规则可以与域中的策略共存。动态模式是 Ipseccmd 的默认模式。
语法
要添加规则,可以使用以下语法:
ipseccmd [\\ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}]
要删除所有动态策略,请使用如下语法:
ipseccmd -u
参数
\\computername
指定要向其添加规则的远程计算机的名称。
-f FilterList
第一个语法要求。为快速模式安全关联 (SAs) 指定一个或多个由空格分割的筛选器规格。每个筛选器规格都定义一套受该规则影响的网络流量。
-n NegotiationPolicyList
指定由筛选器列表定义的安全流量的一个或多个安全方法(由空格分割)。
-t TunnelAddr
指定隧道模式为 IP 地址或 DNS 域名的隧道终结点。
-a AuthMethodList
指定一个或多个身份认证方法(由空格分割)。
-1s SecurityMethodList
指定一个或多个密钥交换安全方法(由空格分割)。
-1k MainModeRekeySettings
指定主模式 SA rekey设置。
-1p
启用主密钥完全向前保密。
-1f MMFilterList
指定一个或多个主模式 Sas 的筛选器规格(由空格分割)。
-1e SoftSAExpirationTime
指定软 SAs 的过期时间(单位为:秒)。
-soft
启用软 SAs。
-confirm
指定在添加规则或策略之前显示确认提示。
{-dialup | -lan}
指定规则是否仅应用于远程访问或拨号连接,或是否仅应用于局域网 (LAN) 连接。
-u
第二个语法要求。指定删除所有的动态规则。
/?
在命令提示符显示帮助。
注释
Ipseccmd 不可用于配置运行 Windows 2000 计算机的规则。
如果不指定 ComputerName 参数,则该规则将添加到本地计算机。
如果使用了 ComputerName 参数,则此参数必须在其他所有参数之前使用,而且必须具有欲向其添加规则的计算机的管理员权限。
对于 -f 参数,一种筛选器规格是由空格分割且由如下格式定义的一个或多个筛选器:
SourceAddress/SourceMask:SourcePort=DestAddress/DestMask:DestPort:Protocol
SourceMask、SourcePort、DestMask 和 DestPort 是可选项。如果忽略这些参数,则该筛选器将使用子网掩码 255.255.255.255 和所有端口。
Protocol 是可选项。如果省略它,则筛选器将使用所有协议。如果指定一种协议,则必须指定端口或在协议前使用两个冒号 (::)。(请参见动态模式的第一个范例。)此协议必须是筛选器的最后一项。可以使用下面的协议符号:ICMP、UDP、RAW 和 TCP。
可以通过使用加号 (+) 替代等号 (=) 创建镜像筛选器。
可以将 SourceAddress/SourceMask 或 DestAddress/DestMask 替换为下表中的值: 值 说明
0 我的地址或地址
* 任意地址
DNSName DNS 域名如果 DNS 名称解析多个地址,则会忽略它。
GUID 本地网络接口的全球单一标识 (GUID),形式为 {12345678-1234-1234-1234-123456789ABC}。当在静态模式下使用 -n 参数时,则不能指定 GUID。
通过指定“默认”的筛选器规格,可以启用默认的响应规则。
将筛选器规格放在圆括号中可以指定许可筛选器。将筛选器规格放在中括号 ([ ]) 中可以指定阻挡筛选器。
如果使用的 Internet 地址是分类的子网掩码(以八位字节为边界定义的子网掩码),则可使用通配符指定子网掩码。例如,10.*.*.* 与 10.0.0.0/255.0.0.0 相同,10.92.*.* 与 10.92.0.0/255.255.0.0 相同。
筛选器范例
要创建可以筛选 Computer1 和 Computer2 之间的 TCP 流量的镜像筛选器,请键入:
Computer1+Computer2::TCP
要创建子网范围为 172.31.0.0/255.255.0.0 到 10.0.0.0/255.0.0.0(端口 80)之间的所有 TCP 流量的筛选器,请键入:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
要创建允许本地 IP 地址和 IP 地址为 10.2.1.1 之间流量的镜像筛选器,请键入:
(0+10.2.1.1)
对于 -n 参数,可由空格分割一个或多个协商策略并采用以下的形式:
esp[EncrypAlg,AuthAlg]RekeyPFS[Group]
ah[HashAlg]
ah[HashAlg]+esp[EncrypAlg,AuthAlg]
其中,EncrypAlg 可以是 none、des 或 3des;AuthAlg 可以是 none、md5 或 sha;HashAlg 可以是 md5 或 sha。
不支持 esp[none,none] 配置。
sha 参数是指 SHA1 散列算法。
Rekey 参数是可选项,它可以指定千字节的数量(通过在数字后加 K 表示),或秒数(通过在数字后加 S 表示)这些指定值位于快速模式 SA 的 rekey 之前。要指定两个 rekey 的参数,请使用斜线 (/) 将两个数分开。例如,要每隔 1 小时和每 5 兆 的数据流量后 rekey 一次快速模式 SA,请键入:
3600S/5000K
PFS 参数是可选项,该参数可以启用会话密钥完全向前保密。默认情况下,会话密钥完全向前保密是禁用的。
Group 参数是可选项,该参数可指定会话密钥完全向前保密的 Diffie-Hellman 组。对于 Low(1) Diffie-Hellman 组,指定 PFS1 或 P1。对于 Medium(2) Diffie-Hellman 组,指定 PFS2 或 P2。默认情况下,会话密钥完全向前保密的组值来自当前主模式设置值。
如果不指定协商策略,则默认的协商策略如下:
esp[3des,sha]
esp[3des,md5]
esp[des,sha]
esp[des,md5]
如果忽略 -t 参数,则使用 IPSec 传输模式。
对于 -a 参数,由空格分割一种或多种身份验证方式,并使用以下某种形式:
preshare:"PresharedKeyString"
kerberos
cert:"CAInfo"
PresharedKeyString 参数指定预共享密钥的字符串。CAInfo 参数指定 IP 安全策略管理单元中显示的证书区别名,此时证书被选择为某规则的身份验证方式。PresharedKeyString 和 CAInfo 参数区分大小写。可以使用首字母简化此方法:p, k 或 c。如果忽略 -a 参数,则默认的身份验证方式为 Kerberos。
对于 -1s 参数,单个或多个密钥交换安全方式由空格分割且定义成下面的格式:
EncrypAlg-HashAlg-GroupNum
其中,EncrypAlg 可以是 des 或 3des;HashAlg 可以是 md5 或 sha;GroupNum 可以是 1(对于 Low(1) Diffie-Hellman 组)或 2(对于 Medium(2) Diffie-Hellman 组)。如果忽略 -1s 参数,则默认的密钥交换安全方式是 3des-sha-2、3des-md5-2、des-sha-1 和 des-md5-1。
对于 -1k 参数,可以指定快速模式 SAs 的数量(通过在数字后加 Q 表示)或秒数(通过在数字后面加 S 表示)来 rekey 主模式 SA。要指定两个 rekey 的参数,必须使用斜线 (/) 将两个数分开。例如,要在每 10 个快速模式 SAs 和每隔 1 小时后 rekey 主模式,请键入:
10Q/3600S
如果忽略 -1k 参数,主模式 rekey 的默认值为无限个主模式 SAs 和 480 分钟。
主密钥完全向前保密在默认情况下是禁用的。
对于 -1f 参数,指定主模式筛选器规格的语法与 -1f 参数相同,差别在于不可以指定许可筛选器、阻挡筛选器、端口或协议。如果忽略 -1f 参数,将根据快速模式筛选器自动创建主模式筛选器。
如果忽略 -1e 参数,软 SAs 的过期时间为 300 秒。然而,软 SAs 在未使用 -soft 参数时总是禁用的。
只有动态模式才可使用确认。
如果未指定参数 -dialup 和 -lan,则规则将应用于所有适配器。
范例
要创建进出本地计算机的所有流量的使用 MD5 散列身份认证头标 (AH) 的规则,请键入:
ipseccmd -f 0+* -n ah[md5]
要创建来自 10.2.1.1 和 10.2.1.13(隧道终结点为 10.2.1.13)的流量的隧道规则(该规则带有利用 SHA1 散列算法的 AH 隧道模式,并启用了主密钥完全向前保密和在创建之前带有规则确认提示),请键入:
ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c
要在名为 corpsrv1 的计算机上创建名为 corpsrv1 和 corpsrv2 的计算机之间所有流量的规则(该规则同时带有 AH 和加密安全负载 (ESP),以及预共享的密钥身份验证),请键入:
ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"
ipseccmd static mode
可是使用 Ipseccmd 静态模式创建命名策略和命名规则。也可以使用静态模式修改最初由 Ipseccmd 创建的现有策略和规则。静态模式的语法结合了带参数的动态模式的语法,该参数可使其在策略级的水平工作。
语法
ipseccmd DynamicModeParameters -w Type[:Location] -p PolicyName[:PollInterval] -r RuleName [{-x | -y}] [-o]
参数
DynamicModeParameters
必需。根据上面的介绍为 IPSec 规则指定一套动态模式参数集。
-w Type[:Location]
必需。指定写入本地注册表、远程计算机的注册表或活动目录域的策略和规则。
-p PolicyName[:PollInterval]
必需。指定策略名称和检查策略更改的频率(以分钟计)。如果 PolicyName 包含空格,请使用引号将文本引起来(例如,"PolicyName")。
-r rulename
必需。指定规则的名称。如果 RuleName 包含空格,请使用引号将文本引起来(例如,"RuleName")。
[{-x | -y}]?
指定是否分配本地注册表策略。-x 参数指定分配了本地注册表策略。-y 参数指定未分配本地注册表册策略。
-o
指定应该删除规则或策略。
/?
在命令提示符显示帮助。
注释
对于 -w 参数,Type 既可以是指定本地或远程计算机注册表的 reg,也可以是指定活动目录的 ds。
如果指定 Type 参数为 reg,但没有使用 Location 参数,则将创建本地计算机的注册表规则。
如果指定 Type 参数为 reg,并指定了 Location 参数的远程计算机名,则将创建指定的本地计算机的注册表规则。
如果指定 Type 参数为 ds,但没有使用 Location 参数,则将创建本地计算机所在的活动目录域的规则。
如果指定 Type 参数为 ds,且指定了 Location 参数的活动目录域,则将创建指定域的规则。
对于 -p 参数,如果已经存在该名称的策略,则指定的规则将添加到策略中。否则,将创建指定名称的策略。如果指定 PollInterval 参数的值为整数,则该策略的轮询时间间隔将设置为该整数的分钟数。
对于 -r 参数,如果已经存在该名称的规则,则将根据命令中指定的参数修改该规则。例如,如果在现有规则中使用 -f 参数,则只替换该规则的筛选器。如果不存在指定名称的规则,则将创建该名称的规则。
对于 -o 参数,会删除指定策略的所有方面。如果具有指向要删除的策略中对象的其他策略,则不要使用该参数。
静态模式的使用有一个方面与动态模式不同。使用动态模式,可以在 FilterList 中指定许可和阻挡筛选器,可以利用 -f 参数识别这些筛选器。使用静态模式,可以在 NegotiationPolicyrList 中指定许可和阻挡筛选器,可以利用 -n 参数识别这些筛选器。除了动态模式下讲述的 NegotiationPolicyList 参数外,也可以在静态模式下使用 block、pass 或 inpass 参数。下表列出了这些参数及其对各自行为的说明。
参数 说明
block NegotiationPolicyList 中策略的其余部分将被忽略,且所有筛选器都将创建为阻挡筛选器。
pass NegotiationPolicyList 中策略的其余部分将被忽略,且所有筛选器都将创建为许可筛选器。
inpass 内传筛选器将允许未加安全的初始通讯,但响应将通过 IPSec 加强其安全性。
范例
要利用 Kerberos 和预共享密钥身份认证方式创建名称为 Default Domain Policy 并在活动目录域(本地计算机需属于该域成员)中具有 30 分钟轮询时间间隔,而且在本地计算机和名为 SecuredServer1 和 SecuredServer2 的计算机流量之间的规则名为 SevuredServer2 的策略,请键入:
ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Default Domain Policy":30 -r "Secured Servers"
要利用本地计算机的任意流量镜像筛选器以及预共享密钥身份验证来创建并分配规则名为 Secure My Traffic 、策略名为 Me to Anyone 的本地策略,请键入:
ipseccmd -f 0+* -a p:"localauth" -w reg -p "Me to Anyone" -r "Secure My Traffic" -x
ipseccmd query mode
可以使用 Ipseccmd 查询模式显示 IPSec 安全策略数据库中的数据。
语法
ipseccmd [\\ComputerName] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}
参数
\\computername
通过名称指定要显示其数据的远程计算机。
show
必需。指定必须以查询模式运行 Ipseccmd。
filters
显示主模式和快速模式筛选器。
policies
显示主模式和快速模式策略。
auth
显示主模式身份认证方式。
stats
显示有关 Internet 密钥交换 (IKE) 和 IPSec 的统计资料。
sas
显示主模式和快速模式安全关联 (SAs)。
all
显示上面各种类型的数据。
/?
在命令提示符显示帮助。
注释
Ipseccmd 不可用于显示运行 Windows 2000 的 IPSec 数据。
如果不使用 ComputerName 参数,则将显示关于本地计算机的信息。
如果使用了 ComputerName 参数,则此参数必须位于其他所有参数之前,且必须具有欲显示其信息的计算机的管理员权限。
范例
要显示主模式和快速模式筛选器以及本地计算机的策略,请键入:
ipseccmd show filters policies
要显示远程计算机 Server1 的所有 IPSec 信息,请键入以下命令:
ipseccmd \\Server1 show all
推荐系统
雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载
系统大小:0MB系统类型:WinXP雨林木风在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业知名品牌,雨林木风WindowsXP其系统口碑得到许多人认可,积累了广大的用户群体,是一款稳定流畅的系统,雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载,有需要的朋友速度下载吧。
系统等级:进入下载 >萝卜家园win7纯净版 ghost系统下载 x64 联想电脑专用
系统大小:0MB系统类型:Win7萝卜家园win7纯净版是款非常纯净的win7系统,此版本优化更新了大量的驱动,帮助用户们进行舒适的使用,更加的适合家庭办公的使用,方便用户,有需要的用户们快来下载安装吧。
系统等级:进入下载 >雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载
系统大小:1.01GB系统类型:WinXP雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载,雨林木风WinXP系统技术积累雄厚深耕多年,采用了新的系统功能和硬件驱动,可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,加固了系统安全策略,运行环境安全可靠稳定。
系统等级:进入下载 >萝卜家园win10企业版 免激活密钥 激活工具 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,(win10企业版,win10 ghost,win10镜像),萝卜家园win10企业版 免激活密钥 激活工具 ghost镜像 X64位系统下载,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园
系统等级:进入下载 >萝卜家园windows10游戏版 win10游戏专业版 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园windows10游戏版 win10游戏专业版 ghost X64位 系统下载,萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园win10国内镜像版,基于国内用户的习惯,做
系统等级:进入下载 >windows11下载 萝卜家园win11专业版 X64位 V2023官网下载
系统大小:0MB系统类型:Win11萝卜家园在系统方面技术积累雄厚深耕多年,windows11下载 萝卜家园win11专业版 X64位 官网正式版可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,使得软件在WINDOWS11系统中运行得更加流畅,加固了系统安全策略,WINDOWS11系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。
系统等级:进入下载 >
相关文章
- 安卓手机QQ 4.7.2正式发布 显示在线好友的网络状态
- 瑞星安全随身WiFi怎么用 瑞星随身WiFi有何亮点以及使用方法
- 您的WiFi安全吗?让路由卫士来为您把关让它变得更快,更安全
- 大势至局域网共享文件管理软件详细记录服务器共享文件访问日志、保护共享文件安全
- 金山毒霸发布全新的V11新春版:杀毒速度更快/软件净化
- WinXP如何进入安全模式?WinXP进入安全模式设置
- 怎样消除免费WIFI的安全隐患?一张图看懂免费WIFI的安全隐患
- 毒app优惠券怎么获得 毒app无门槛优惠券攻略
- 京东通信卡流量超标怎样关闭移动网络?
- 详解火绒安全软件怎么样
- Win10系统下安全登录失败初始化失败怎么办?
- 360安全卫士怎么更改默认软件?
- 360称特斯拉应用存漏洞 特斯拉不安全?
- win10安全模式跳过开机密码可行吗
热门系统
推荐软件
推荐应用
推荐游戏
热门文章
常用系统
- 1番茄花园win11游戏装机版 简体中文 ghost ISO镜像 X64位下载
- 2系统之家win11旗舰版 x64位正式版下载 ghost镜像 华硕笔记本专用下载
- 3 风林火山 Ghost Win11 64位 稳定专业版
- 4【开学季】Windows11纯净版系统番茄花园 ghost系统 ISO镜像 X64位下载
- 5萝卜家园win10企业版 x86全能特快版下载 笔记本专用 GHOST镜像下载
- 6深度技术WINDOWS11旗舰版系统 X64位 V2022.04下载
- 7番茄花园win10娱乐版 x64位中文版下载 ghost镜像 联想电脑专用下载
- 8 电脑公司 Ghost Win11 64位 专业激活版
- 9深度技术win10专业版 免激活 X64位 V2022.04下载