資源描述:
《如何使用ipsec阻止特定網(wǎng)絡(luò)協(xié)議和端口》由會員上傳分享�����,免費在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1���、如何使用IPSec阻止特定網(wǎng)絡(luò)協(xié)議和端口~教育資源庫 概要 IPSec 首先需要指出的是���,IPSec和TCP/IP篩選是不同的東西,大家不要混淆了�。TCP/IP篩選的功能十分有限,遠(yuǎn)不如IPSec靈活和強大�����。下面就說說如何在命令行下控制IPSec��?! P系統(tǒng)用ipseccmd,2000下用ipsecpol��。遺憾的是�����,它們都不是系統(tǒng)自帶的���。ipseccmd在xp系統(tǒng)安裝盤的SUPPORTTOOLSSUPPORT.CAB中�,ipsecpol在2000ResourceKit里��。而且�����,要使用ipsecpol還必須帶上另外兩個文件
2���、:ipsecutil.dll和text2pol.dll����。三個文件一共119KB?��! PSec可以通過組策略來控制�����,但我找遍MSDN����,也沒有找到相應(yīng)的安全模板的語法�。已經(jīng)配置好的IPSec策略也不能被導(dǎo)出為模板。所以�����,組策略這條路走不通��。IPSec的設(shè)置保存在注冊表中 (HKEY_LOCAL_MACHINESOFTicrosoftiniRemoteControl����。 為了保護(hù)它不被別人暴破密碼或溢出����,應(yīng)該限制對其服務(wù)端口6129的訪問���。 ipsecpol-pmyfrc_block_all-f*+0:6129:tcp-nBLO
3�����、CK-yfrc_pass_me-f123.45.67.89+0:6129:tcp-nPASS-yfrc_block_all-f*+0:6129:tcp-nBLOCK-yfrc_pass_me-f123.45.67.*+0:6129:tcp-nPASS-e/t 12:34 c:>at12:39ipsecpol-pmyfyfyfyfdash;ipseccmdshooteRegistry服務(wù)的支持����。所以先啟動該服務(wù): startremoteregistry 不啟動RemoteRegistry就會得到一個錯誤: [FAT
4��、AL]Failedtogetsysteminformationofthismachine. diag這個工具功能十分強大��,與網(wǎng)絡(luò)有關(guān)的信息都可以獲?��?��!不過,輸出的信息有時過于具體����,超過命令行控12345678下一頁友情提醒:���,特別!制臺cmd.exe的輸出緩存����,而不是每個遠(yuǎn)程cmdshell都可以用more命令來分頁的?�! 〔榭磇psec策略的命令是: diag/debug/test:ipsec 然后是一長串輸出信息�����。IPSec策略位于最后��?����! 「嘈畔ⅰ 〈_定是否指定了IPSec策略 基于FilesSupportToo
5��、ls�。 3.運行以下命令以驗證尚未為該計算機指定現(xiàn)有IPSec策略: diag/test:ipsec 假如沒有指定策略�,您將收到以下消息: IP安全測試。........:傳遞的IPSec策略服務(wù)是活動的,但是沒有指定策略�。 基于WindoFilesSupportTools����。 3.運行以下命令以驗證尚未為該計算機指定現(xiàn)有IPSec策略: diag/test:ipsec 假如沒有指定策略�,您將收到以下消息: IP安全測試。........:傳遞的IPSec策略服務(wù)是活動的��,但是沒有指定策略����?����! 』赪indo
6���、ws2000的計算機 在為基于Windows2000的計算機創(chuàng)建或指定任何新的IPSec策略之前��,請確定是否有從本地注冊表或通過GPO應(yīng)用的任何IPSec策略��。為此���,請按照下列步驟操作:1.運行Windows上一頁12345678下一頁友情提醒:��,特別����!2000CD上的SupportTools文件夾中的Setup.exe���,安裝Netdiag.exe����?����! ?.打開命令提示符窗口���,然后將工作文件夾設(shè)置為C:ProgramFilesSupportTools��?���! ?.運行以下命令以驗證尚未為該計算機指定現(xiàn)有IPSec策略: diag
7����、/test:ipsec 假如沒有指定策略��,您將收到以下消息: IP安全測試����。........:傳遞的IPSec策略服務(wù)是活動的��,但是沒有指定策略����。 創(chuàng)建用于阻止通信的靜態(tài)策略 基于d.exe是d.exe-berFilter-rBlockInboundProtocolPortNumberRule-f*=0ortNumberrotocol-nBLOCK–x 例如��,要阻止從任何IP地址和任何源端口發(fā)往er蠕蟲的攻擊��?! PSeccmd.exe-da蠕蟲的攻擊��?���! PSeccmd.exe-ber是變量: I
8、PSeccmd.exe-berFilter-rBlockOutboundProtocolPortNumberRule-f*0=ortNumber:Protocol-nBLOCK 例如�����,要阻止從基于er蠕蟲?����! PSeccmd.exe-wREG-pBlockU
