【转】ipseccmd IP安全策略命令解析

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介: from:http://www.jb51.net/softjc/32394.html 点评:首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。
from:http://www.jb51.net/softjc/32394.html
点评:首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。

IPSec 
首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。 

XP系统用ipseccmd 本站附件下载 

2000下用ipsecpol。 
WIN2003下直接就是IPSEC命令。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。三个文件一共119KB。 


winxp命令行下ipsec屏蔽不安全的端口 

IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据 
包的加密和认证。不过这样高级的功能我无缘消受,只是用到了筛选功能罢了。通过设置规则进行数据包的筛选器,可以屏蔽不安全的端口连接。 

你可以运行gpedit.msc,在Windows设置>>计算机设置>>IP安全设置中进行手工设 
置。更加简单的方法是使用ipseccmd命令。 

ipseccmd在WindowsXP中没有默认安装,他在XP系统安装盘的 
SUPPORT\TOOLS\SUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol,默认 
应该也没有安装,你自己找找看吧。 


使用ipseccmd设置筛选,它的主要作用是设置你的筛选规则,为它指定一个名称, 
同时指定一个策略名称,所谓策略不过是一组筛选规则的集合而已。比如你要封 
闭TCP135端口的数据双向收发,使用命令: 

ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x 

这里我们使用的是静态模式,常用的参数如下: 
-w reg 表明将配置写入注册表,重启后仍有效。 
-p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。 
-r 指定规则名称。 
-n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。 
-x 激活该策略。 
-y 使之无效。 
-o 删除-p指定的策略。 
其中最关键的是-f。它用来设置你的过滤规则,格式为 
A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址,后面 
是目的地址。如果使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址, 
0代表我自己的IP地址。还可以使用通配符,比如144.92.*.* 等效于 
144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。 

如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。 
参考下面代码清单。 

好了,这样你就可以使用ipsec根据自己的需要方便得自己定制你的筛选规则了。 
如果有不安全的端口,或者你不太喜欢的IP地址,你就可以把它们封锁在你的大 
门之外。 

现在,你的机器本身已经基本比较安全了,不必再一接上网线就提心吊胆了。今天 
天气还不错,赶快放心大胆的去网上冲浪去吧,海岸上有漂亮的贝壳,不要忘了 
捡几颗送给我哦。 

=========================麻烦一点的讲解============================= 
Ipseccmd 
在目录服务或本地(远程)注册表中配置 Internet 协议安全 (IPSec) 策略。Ipseccmd 是与 IP 安全策略 Microsoft 管理控制台 (MMC) 管理单元功能相同的另一种命令行管理工具,具有三种模式:动态模式 (dynamic mode)、静态模式 (static mode) 和查询模式 (query mode)。 

若要查看该命令语法,请单击以下命令: 

ipseccmd dynamic mode 

可以利用 Ipseccmd 动态模式将匿名规则添加到现有的 IPSec 策略中,方法是将这些规则添加到 IPSec 安全策略数据库。即使重新启动 IPSEC 服务后,所添加的规则也会存在。使用动态模式的好处在于所添加的规则可以与域中的策略共存。动态模式是 Ipseccmd 的默认模式。 

语法 
要添加规则,可以使用以下语法: 
ipseccmd [\\ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}] 

要删除所有动态策略,请使用如下语法: 
ipseccmd -u 

参数 
\\computername 
指定要向其添加规则的远程计算机的名称。 
-f FilterList 
第一个语法要求。为快速模式安全关联 (SAs) 指定一个或多个由空格分割的筛选器规格。每个筛选器规格都定义一套受该规则影响的网络流量。 
-n NegotiationPolicyList 
指定由筛选器列表定义的安全流量的一个或多个安全方法(由空格分割)。 
-t TunnelAddr 
指定隧道模式为 IP 地址或 DNS 域名的隧道终结点。 
-a AuthMethodList 
指定一个或多个身份认证方法(由空格分割)。 
-1s SecurityMethodList 
指定一个或多个密钥交换安全方法(由空格分割)。 
-1k MainModeRekeySettings 
指定主模式 SA rekey设置。 
-1p 
启用主密钥完全向前保密。 
-1f MMFilterList 
指定一个或多个主模式 Sas 的筛选器规格(由空格分割)。 
-1e SoftSAExpirationTime 
指定软 SAs 的过期时间(单位为:秒)。 
-soft 
启用软 SAs。 
-confirm 
指定在添加规则或策略之前显示确认提示。 
{-dialup | -lan} 
指定规则是否仅应用于远程访问或拨号连接,或是否仅应用于局域网 (LAN) 连接。 
-u 
第二个语法要求。指定删除所有的动态规则。 
/? 
在命令提示符显示帮助。 
注释 
Ipseccmd 不可用于配置运行 Windows 2000 计算机的规则。 
如果不指定 ComputerName 参数,则该规则将添加到本地计算机。 
如果使用了 ComputerName 参数,则此参数必须在其他所有参数之前使用,而且必须具有欲向其添加规则的计算机的管理员权限。 
对于 -f 参数,一种筛选器规格是由空格分割且由如下格式定义的一个或多个筛选器: 
SourceAddress/SourceMask:SourcePort=DestAddress/DestMask:DestPort:Protocol 

SourceMask、SourcePort、DestMask 和 DestPort 是可选项。如果忽略这些参数,则该筛选器将使用子网掩码 255.255.255.255 和所有端口。 
Protocol 是可选项。如果省略它,则筛选器将使用所有协议。如果指定一种协议,则必须指定端口或在协议前使用两个冒号 (::)。(请参见动态模式的第一个范例。)此协议必须是筛选器的最后一项。可以使用下面的协议符号:ICMP、UDP、RAW 和 TCP。 
可以通过使用加号 (+) 替代等号 (=) 创建镜像筛选器。 
可以将 SourceAddress/SourceMask 或 DestAddress/DestMask 替换为下表中的值: 值 说明 
0 我的地址或地址 
* 任意地址 
DNSName DNS 域名如果 DNS 名称解析多个地址,则会忽略它。 
GUID 本地网络接口的全球单一标识 (GUID),形式为 {12345678-1234-1234-1234-123456789ABC}。当在静态模式下使用 -n 参数时,则不能指定 GUID。 

通过指定“默认”的筛选器规格,可以启用默认的响应规则。 
将筛选器规格放在圆括号中可以指定许可筛选器。将筛选器规格放在中括号 ([ ]) 中可以指定阻挡筛选器。
如果使用的 Internet 地址是分类的子网掩码(以八位字节为边界定义的子网掩码),则可使用通配符指定子网掩码。例如,10.*.*.* 与 10.0.0.0/255.0.0.0 相同,10.92.*.* 与 10.92.0.0/255.255.0.0 相同。 
筛选器范例 

要创建可以筛选 Computer1 和 Computer2 之间的 TCP 流量的镜像筛选器,请键入: 

Computer1+Computer2::TCP 

要创建子网范围为 172.31.0.0/255.255.0.0 到 10.0.0.0/255.0.0.0(端口 80)之间的所有 TCP 流量的筛选器,请键入: 

172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP 

要创建允许本地 IP 地址和 IP 地址为 10.2.1.1 之间流量的镜像筛选器,请键入: 

(0+10.2.1.1) 

对于 -n 参数,可由空格分割一个或多个协商策略并采用以下的形式: 
esp[EncrypAlg,AuthAlg]RekeyPFS[Group] 
ah[HashAlg] 
ah[HashAlg]+esp[EncrypAlg,AuthAlg] 
其中,EncrypAlg 可以是 none、des 或 3des;AuthAlg 可以是 none、md5 或 sha;HashAlg 可以是 md5 或 sha。 

不支持 esp[none,none] 配置。 
sha 参数是指 SHA1 散列算法。 
Rekey 参数是可选项,它可以指定千字节的数量(通过在数字后加 K 表示),或秒数(通过在数字后加 S 表示)这些指定值位于快速模式 SA 的 rekey 之前。要指定两个 rekey 的参数,请使用斜线 (/) 将两个数分开。例如,要每隔 1 小时和每 5 兆 的数据流量后 rekey 一次快速模式 SA,请键入: 
3600S/5000K 

PFS 参数是可选项,该参数可以启用会话密钥完全向前保密。默认情况下,会话密钥完全向前保密是禁用的。 
Group 参数是可选项,该参数可指定会话密钥完全向前保密的 Diffie-Hellman 组。对于 Low(1) Diffie-Hellman 组,指定 PFS1 或 P1。对于 Medium(2) Diffie-Hellman 组,指定 PFS2 或 P2。默认情况下,会话密钥完全向前保密的组值来自当前主模式设置值。 
如果不指定协商策略,则默认的协商策略如下: 
esp[3des,sha] 
esp[3des,md5] 
esp[des,sha] 
esp[des,md5] 
如果忽略 -t 参数,则使用 IPSec 传输模式。 
对于 -a 参数,由空格分割一种或多种身份验证方式,并使用以下某种形式: 
preshare:"PresharedKeyString" 
kerberos 
cert:"CAInfo" 
PresharedKeyString 参数指定预共享密钥的字符串。CAInfo 参数指定 IP 安全策略管理单元中显示的证书区别名,此时证书被选择为某规则的身份验证方式。PresharedKeyString 和 CAInfo 参数区分大小写。可以使用首字母简化此方法:p, k 或 c。如果忽略 -a 参数,则默认的身份验证方式为 Kerberos。 

对于 -1s 参数,单个或多个密钥交换安全方式由空格分割且定义成下面的格式: 
EncrypAlg-HashAlg-GroupNum 

其中,EncrypAlg 可以是 des 或 3des;HashAlg 可以是 md5 或 sha;GroupNum 可以是 1(对于 Low(1) Diffie-Hellman 组)或 2(对于 Medium(2) Diffie-Hellman 组)。如果忽略 -1s 参数,则默认的密钥交换安全方式是 3des-sha-2、3des-md5-2、des-sha-1 和 des-md5-1。 

对于 -1k 参数,可以指定快速模式 SAs 的数量(通过在数字后加 Q 表示)或秒数(通过在数字后面加 S 表示)来 rekey 主模式 SA。要指定两个 rekey 的参数,必须使用斜线 (/) 将两个数分开。例如,要在每 10 个快速模式 SAs 和每隔 1 小时后 rekey 主模式,请键入: 
10Q/3600S 

如果忽略 -1k 参数,主模式 rekey 的默认值为无限个主模式 SAs 和 480 分钟。 

主密钥完全向前保密在默认情况下是禁用的。 
对于 -1f 参数,指定主模式筛选器规格的语法与 -1f 参数相同,差别在于不可以指定许可筛选器、阻挡筛选器、端口或协议。如果忽略 -1f 参数,将根据快速模式筛选器自动创建主模式筛选器。 
如果忽略 -1e 参数,软 SAs 的过期时间为 300 秒。然而,软 SAs 在未使用 -soft 参数时总是禁用的。
只有动态模式才可使用确认。 
如果未指定参数 -dialup 和 -lan,则规则将应用于所有适配器。 
范例 
要创建进出本地计算机的所有流量的使用 MD5 散列身份认证头标 (AH) 的规则,请键入: 

ipseccmd -f 0+* -n ah[md5] 

要创建来自 10.2.1.1 和 10.2.1.13(隧道终结点为 10.2.1.13)的流量的隧道规则(该规则带有利用 SHA1 散列算法的 AH 隧道模式,并启用了主密钥完全向前保密和在创建之前带有规则确认提示),请键入: 

ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c 

要在名为 corpsrv1 的计算机上创建名为 corpsrv1 和 corpsrv2 的计算机之间所有流量的规则(该规则同时带有 AH 和加密安全负载 (ESP),以及预共享的密钥身份验证),请键入: 

ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth" 

ipseccmd static mode 

可是使用 Ipseccmd 静态模式创建命名策略和命名规则。也可以使用静态模式修改最初由 Ipseccmd 创建的现有策略和规则。静态模式的语法结合了带参数的动态模式的语法,该参数可使其在策略级的水平工作。

语法 
ipseccmd DynamicModeParameters -w Type[:Location] -p PolicyName[:PollInterval] -r RuleName [{-x | -y}] [-o] 

参数 
DynamicModeParameters 
必需。根据上面的介绍为 IPSec 规则指定一套动态模式参数集。 
-w Type[:Location] 
必需。指定写入本地注册表、远程计算机的注册表或活动目录域的策略和规则。 
-p PolicyName[:PollInterval] 
必需。指定策略名称和检查策略更改的频率(以分钟计)。如果 PolicyName 包含空格,请使用引号将文本引起来(例如,"PolicyName")。 
-r rulename 
必需。指定规则的名称。如果 RuleName 包含空格,请使用引号将文本引起来(例如,"RuleName")。 
[{-x | -y}]? 
指定是否分配本地注册表策略。-x 参数指定分配了本地注册表策略。-y 参数指定未分配本地注册表册策略。 
-o 
指定应该删除规则或策略。 
/? 
在命令提示符显示帮助。 
注释 
对于 -w 参数,Type 既可以是指定本地或远程计算机注册表的 reg,也可以是指定活动目录的 ds。 
如果指定 Type 参数为 reg,但没有使用 Location 参数,则将创建本地计算机的注册表规则。 
如果指定 Type 参数为 reg,并指定了 Location 参数的远程计算机名,则将创建指定的本地计算机的注册表规则。 
如果指定 Type 参数为 ds,但没有使用 Location 参数,则将创建本地计算机所在的活动目录域的规则。 
如果指定 Type 参数为 ds,且指定了 Location 参数的活动目录域,则将创建指定域的规则。 
对于 -p 参数,如果已经存在该名称的策略,则指定的规则将添加到策略中。否则,将创建指定名称的策略。如果指定 PollInterval 参数的值为整数,则该策略的轮询时间间隔将设置为该整数的分钟数。 
对于 -r 参数,如果已经存在该名称的规则,则将根据命令中指定的参数修改该规则。例如,如果在现有规则中使用 -f 参数,则只替换该规则的筛选器。如果不存在指定名称的规则,则将创建该名称的规则。 
对于 -o 参数,会删除指定策略的所有方面。如果具有指向要删除的策略中对象的其他策略,则不要使用该参数。 
静态模式的使用有一个方面与动态模式不同。使用动态模式,可以在 FilterList 中指定许可和阻挡筛选器,可以利用 -f 参数识别这些筛选器。使用静态模式,可以在 NegotiationPolicyrList 中指定许可和阻挡筛选器,可以利用 -n 参数识别这些筛选器。除了动态模式下讲述的 NegotiationPolicyList 参数外,也可以在静态模式下使用 block、pass 或 inpass 参数。下表列出了这些参数及其对各自行为的说明。 

参数 说明 
block NegotiationPolicyList 中策略的其余部分将被忽略,且所有筛选器都将创建为阻挡筛选器。 
pass NegotiationPolicyList 中策略的其余部分将被忽略,且所有筛选器都将创建为许可筛选器。 
inpass 内传筛选器将允许未加安全的初始通讯,但响应将通过 IPSec 加强其安全性。 

范例 
要利用 Kerberos 和预共享密钥身份认证方式创建名称为 Default Domain Policy 并在活动目录域(本地计算机需属于该域成员)中具有 30 分钟轮询时间间隔,而且在本地计算机和名为 SecuredServer1 和 SecuredServer2 的计算机流量之间的规则名为 SevuredServer2 的策略,请键入: 

ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Default Domain Policy":30 -r "Secured Servers" 

要利用本地计算机的任意流量镜像筛选器以及预共享密钥身份验证来创建并分配规则名为 Secure My Traffic 、策略名为 Me to Anyone 的本地策略,请键入: 

ipseccmd -f 0+* -a p:"localauth" -w reg -p "Me to Anyone" -r "Secure My Traffic" -x 

ipseccmd query mode 

可以使用 Ipseccmd 查询模式显示 IPSec 安全策略数据库中的数据。 

语法 
ipseccmd [\\ComputerName] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all} 

参数 
\\computername 
通过名称指定要显示其数据的远程计算机。 
show 
必需。指定必须以查询模式运行 Ipseccmd。 
filters 
显示主模式和快速模式筛选器。 
policies 
显示主模式和快速模式策略。 
auth 
显示主模式身份认证方式。 
stats 
显示有关 Internet 密钥交换 (IKE) 和 IPSec 的统计资料。 
sas 
显示主模式和快速模式安全关联 (SAs)。 
all 
显示上面各种类型的数据。 
/? 
在命令提示符显示帮助。 
注释 
Ipseccmd 不可用于显示运行 Windows 2000 的 IPSec 数据。 
如果不使用 ComputerName 参数,则将显示关于本地计算机的信息。 
如果使用了 ComputerName 参数,则此参数必须位于其他所有参数之前,且必须具有欲显示其信息的计算机的管理员权限。 
范例 
要显示主模式和快速模式筛选器以及本地计算机的策略,请键入: 

ipseccmd show filters policies 

要显示远程计算机 Server1 的所有 IPSec 信息,请键入以下命令: 

ipseccmd \\Server1 show all

-------------------------------------------------------

另一篇:利用IPSEC策略创建防火墙:http://book.51cto.com/art/200709/56032.htm

 

目录
相关文章
|
2月前
|
机器学习/深度学习 安全 大数据
揭秘!企业级大模型如何安全高效私有化部署?全面解析最佳实践,助你打造智能业务新引擎!
【10月更文挑战第24天】本文详细探讨了企业级大模型私有化部署的最佳实践,涵盖数据隐私与安全、定制化配置、部署流程、性能优化及安全措施。通过私有化部署,企业能够完全控制数据,确保敏感信息的安全,同时根据自身需求进行优化,提升计算性能和处理效率。示例代码展示了如何利用Python和TensorFlow进行文本分类任务的模型训练。
129 6
|
2月前
|
数据采集 安全 数据管理
深度解析:DataHub的数据集成与管理策略
【10月更文挑战第23天】DataHub 是阿里云推出的一款数据集成与管理平台,旨在帮助企业高效地处理和管理多源异构数据。作为一名已经有一定 DataHub 使用经验的技术人员,我深知其在数据集成与管理方面的强大功能。本文将从个人的角度出发,深入探讨 DataHub 的核心技术、工作原理,以及如何实现多源异构数据的高效集成、数据清洗与转换、数据权限管理和安全控制措施。通过具体的案例分析,展示 DataHub 在解决复杂数据管理问题上的优势。
340 1
|
11天前
|
存储 SpringCloudAlibaba Java
【SpringCloud Alibaba系列】一文全面解析Zookeeper安装、常用命令、JavaAPI操作、Watch事件监听、分布式锁、集群搭建、核心理论
一文全面解析Zookeeper安装、常用命令、JavaAPI操作、Watch事件监听、分布式锁、集群搭建、核心理论。
【SpringCloud Alibaba系列】一文全面解析Zookeeper安装、常用命令、JavaAPI操作、Watch事件监听、分布式锁、集群搭建、核心理论
|
5天前
|
域名解析 负载均衡 安全
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
|
1月前
|
存储 监控 算法
Java虚拟机(JVM)垃圾回收机制深度解析与优化策略####
本文旨在深入探讨Java虚拟机(JVM)的垃圾回收机制,揭示其工作原理、常见算法及参数调优方法。通过剖析垃圾回收的生命周期、内存区域划分以及GC日志分析,为开发者提供一套实用的JVM垃圾回收优化指南,助力提升Java应用的性能与稳定性。 ####
|
2月前
|
负载均衡 网络协议 定位技术
在数字化时代,利用DNS实现地理位置路由成为提升用户体验的有效策略
在数字化时代,利用DNS实现地理位置路由成为提升用户体验的有效策略。通过解析用户请求的来源IP地址,DNS服务器可判断其地理位置,并返回最近或最合适的服务器IP,从而优化网络路由,减少延迟,提高访问速度。示例代码展示了如何基于IP地址判断地理位置并分配相应服务器IP,实际应用中需结合专业地理数据库和动态调整机制,以应对复杂网络环境带来的挑战。
38 6
|
2月前
|
缓存 并行计算 Linux
深入解析Linux操作系统的内核优化策略
本文旨在探讨Linux操作系统内核的优化策略,包括内核参数调整、内存管理、CPU调度以及文件系统性能提升等方面。通过对这些关键领域的分析,我们可以理解如何有效地提高Linux系统的性能和稳定性,从而为用户提供更加流畅和高效的计算体验。
36 2
|
2月前
|
机器学习/深度学习 存储 人工智能
AI助力电子邮件安全防护,CISO解析新策略
AI助力电子邮件安全防护,CISO解析新策略
|
2月前
|
监控 关系型数据库 MySQL
MySQL自增ID耗尽应对策略:技术解决方案全解析
在数据库管理中,MySQL的自增ID(AUTO_INCREMENT)属性为表中的每一行提供了一个唯一的标识符。然而,当自增ID达到其最大值时,如何处理这一情况成为了数据库管理员和开发者必须面对的问题。本文将探讨MySQL自增ID耗尽的原因、影响以及有效的应对策略。
150 3
|
2月前
|
域名解析 网络协议 测试技术
IP、掩码、网关、DNS1、DNS2到底是什么东西,ping telnet测试
理解IP地址、子网掩码、默认网关和DNS服务器的概念是有效管理和配置网络的基础。通过使用ping和telnet命令,可以测试网络连通性和服务状态,快速诊断和解决网络问题。这些工具和概念是网络管理员和IT专业人员日常工作中不可或缺的部分。希望本文提供的详细解释和示例能够帮助您更好地理解和应用这些网络配置和测试工具。
158 2

推荐镜像

更多