荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题:  大家来讨论一下win2k/xp/2003带的ipsec和防火墙吧!
发信站: 荔园晨风BBS站 (Mon Mar  8 13:05:30 2004), 站内信件

发信人: dennes (laok), 信区: Security
标  题: Re: 大家来讨论一下win2k/xp/2003带的ipsec和防火墙吧!
发信站: BBS 水木清华站 (Sun Mar  7 09:25:43 2004), 转信

    这个时转自计算机世界上的一片文章,讲述ipsecpol的使用的
用命令行写IPSec(win)

用 IPSECPOL.EXE 编写策略的脚本

IPSECPOL.EXE 包括在 Windows 2000 Resource Kit 中,它是一个用于创建、指派
和删除 I
PSec 策略的命令行实用程序。IPSECPOL.EXE 非常灵活,它可在 Active
Directory 以及本
地和远程注册表中创建动态和静态策略。有关完整信息,请参阅 Resource Kit 中
的文档。
此处,将在本地计算机的注册表中创建静态策略。

IPSECPOL.EXE 有许多参数,它的语法开始时不易理解。但是,如果您按照此处提
供的示例
操作,则可用三个命令复制以前的 GUI 示例中显示的全部配置。您可能希望在每
个命令之
后打开 MMC 并刷新其显示,以便验证该命令按照预期方式执行。让我们开始吧。


第一个命令(如下所示)创建新策略、在策略中添加规则并在规则中添加两个筛选
器列表和
一个筛选器操作。

ipsecpol -w REG -p"数据包筛选器" -r"入站 Web 协议"
-f *+131.107.1.1:80:TCP -f *+131.107.1.1:443:TCP -n PASS

该命令按两行显示以便于打印,请按一行输入。其中包括以下参数:

    * -w REG - 向注册表中写入静态策略。这与使用 MMC 完全相同。
    * -p"数据包筛选器" - 创建名为"数据包筛选器"的策略。
    * -r"入站 Web 协议" - 创建名为"入站 Web 协议"的规则。
    * -f *+131.107.1.1:80:TCP - 添加筛选器,其中 * 指定任何源地址和任何
端口,131
.107.1.1:80 指定目标地址(服务器本身的地址)和特定端口,:TCP 指定协议,+
 指明筛
选器已被镜像。
    * -f *+131.107.1.1:443:TCP - 除了目标地址为 443 以外,与上述参数相同

    * -n PASS - 传递通信而不协商安全。

请注意,-w、-f 和 -n 参数的值区分大小写,只使用大写!

您可以包括任意多个筛选器。切记以前对基于角色的筛选器列表的讨论,如果您的
服务器运
行多个服务,则应该针对每类筛选器使用单独的 IPSECPOL.EXE 命令。例如,以下
命令可允
许端口 110、995、143、993 和 25 的入站连接,并允许端口 25 到任何地方的出
站连接。


ipsecpol -w REG -p "数据包筛选器" -r"入站/出站邮件"
-f *+131.107.1.1:110:TCP -f *+131.107.1.1:995:TCP
-f *+131.107.1.1:143:TCP -f *+131.107.1.1:993:TCP
-f *+131.107.1.1:25:TCP -f 131.107.1.1+*:25:TCP
-n PASS

(最后一个筛选器 -f 131.107.1.1+*:25:TCP 看上去稍有不同。它允许从服务器
自身地址
上的任何端口发起、到任何服务器上 25 端口的出站连接。该筛选器允许服务器启
动到 Int
ernet 的出站 SMTP 连接。}

下一个命令创建匹配并阻止所有通信的一般规则:

ipsecpol -w REG -p"数据包筛选器" -r"所有入站通信"
-f *+131.107.1.1 -n BLOCK

其中包括以下参数:

    * -w REG - 向注册表中写入静态策略。这与使用 MMC 完全相同。
    * -p"数据包筛选器" - 添加到名为"数据包筛选器"的现有策略中。
    * -r"所有入站通信" - 创建名为"所有入站通信"的规则。
    * -f *+131.107.1.1 - 添加筛选器,其中,* 指定任何源地址和任何端口,
131.107.1
.1 指定目标地址和任何端口,协议空缺意味着使用任何协议,+ 并指明筛选器已
被镜像
    * -n BLOCK - 阻止通信。

最后一个命令指派策略:

ipsecpol -w REG -p"数据包筛选器" -x

其中包括以下参数:

    * -w REG - 向注册表中写入静态策略。这与使用 MMC 完全相同。
    * -p"数据包筛选器" - 添加到名为"数据包筛选器"的现有策略中。
    * -x - 指派策略。

这就是所有的命令。那么,利用三个命令,您已经完成了与使用 GUI 所完成的相
同的任务
。在服务器编译脚本中添加 IPSECPOL.EXE 支持时,切记在完全创建服务器之前,
您可能不
希望实际指派策略。因此脚本中应该只包括 -n PASS 和 -n BLOCK 命令;在所有
的服务器
安装完毕后,可使用以下形式的命令远程指派策略:

ipsecpol \\机器名 -w REG -p "策略名" -x

您需要具备该命令中指定机器的管理权限。如果需要临时取消对策略的指派,请用
 -y 替换
 -x。

您可用以下命令删除整个策略(包括所有相关的筛选器列表和筛选器操作):

ipsecpol -w REG -p "策略名" -o

如果您的服务器创建过程允许您动态更改服务器的角色(无需重新启动),则这将
很有用。
删除现有的策略,然后创建和指派新策略。如果您希望远程编写在所有服务器上创
建策略的
脚本,则可向所有形式的命令中添加 \\主机名。

GUI 和 IPSECPOL.EXE 的区别。 是的,二者存在一些区别,但只与某些内容在
GUI 中显示
的方式有关。

    * 无法禁用默认响应规则,但是在数据包筛选器示例中,这确实无关紧要,因
为传入的
连接不是始终被允许就是始终被阻止。
    * 规则名用作筛选器列表名。
    * -n PASS 和 -n BLOCK 命令不使用现有的允许和阻止(如果在 GUI 中已创
建它)操
作;而是为每个规则创建新的允许或阻止操作,并将新操作命名为"规则列表名
negpol"。
    * 在每个筛选器操作的属性中,存在安全方法的默认列表,但是,因为不存在
实际的安
全协商,所以该列表将被忽略。
    * 用 -o 命令删除策略时还将删除与之相关的筛选器列表和筛选器操作。在
GUI 中删
除策略时并不删除与之相关的筛选器列表和筛选器操作。

那么,这是否确实有效?

总之,这确实有效。在 Windows 2000 发布后不久,一个流行的行业杂志测试了许
多 Web
服务器的安全性。Microsoft 应邀参加了该测试。我们创建了一个启用
Internet Informat
ion Services 5.0 的 Windows 2000 Server。为保护服务器,我们所做的一切就
是为管理
员帐户添加了一个密码并创建了一个象此处示例中那样的 IPSec 策略。服务器直
接连接到
Internet,并幸免于几周内尝试进行的攻击。


**************************************************

这东东的用处大家慢慢体会吧!!!hohohoho
想让那家伙上不了网么????
ipsecpol -w REG -p FW -r outdeny -f 0=* -n BLOCK
一行搞定!!!
(只限于win2000,xp和2003有其他类似的工具)




【 在 dennes (laok) 的大作中提到: 】
:    window 2k/xp/2003 自带来了ipsec 策略,tcp/ip filter,防火墙在xp和
2003
: 中也有了,我想要是把这些东西都合理利用了,对于大部分系统来讲应该是足够

: 觉着这个东西占用的资源少,而且配置好了,就不用在装其他的防火墙了(我记
得以前就
有人推荐过xp的防火墙就一定要打开)
:   我现在想这样的东西比较好用
:   1。比如我要开ftp服务,发现开不成(在tcp/ip filter我把所有的tcp都给
:      关了,除了了21,20,还有几个我用的到的, 同时我还用把系统自带的
:      防火墙打开了,把我要的端口也打开了),因为ftp服务用的数据口随时
:      会变化,我想能不能改个策略,就是任何端口出去,都可以,但是我要
:      限制哪些入口可以进入。我感觉这样比较好用。
:   2。禁止的端口,和我允许的端口都知道其状态,那些没有禁止,也没有允
:      许的端口的状态是如何哪??(是默认允许进入还是默认不允许,就是
: ...................

--
君不密则失臣,臣不密则失身.
几事不密则害成
是以君子慎密而不出也

※ 来源:·BBS 水木清华站 smth.org·[FROM: 127.0.0.1]




--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店