找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 4340|回复: 1

[安全] 服务器安全配置之ip安全策略设置

[复制链接]
Seven 发表于 2010-8-31 10:04:29 | 显示全部楼层 |阅读模式
先请注意:-x 开关会立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令。

注意:在此命令中,Protocol 和 PortNumber 是变量:
  1. IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound
  2. ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
复制代码

例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中添加任意数量的筛选规则。例如,可以使用此命令通过同一策略阻止多个端口。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。

要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:\Program Files\Support Tools,然后键入以下命令:
  1. netdiag /test:ipsec /debug
复制代码

正如这些示例中所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息:
IP 安全测试。. . . . . . . . :
传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注意:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同。

由于帖上我在用的bat,微软的说明书放不下了。所以放上微软使用说明书原文:

别以为微软的网站都是些单调的文章,这篇可是关于ip安全策略的好文章。值得下载到硬盘里收着,所以我就传上来了。

附上我现在在用的bat文件

禁止被ping.bat (声明,这个bat是是根据爱虫ip安全策略和合工大网络中心安全应急响应组的安全策略改的)

--------------------------------------------------------------------------------
以下内容只有回复后才可以浏览
  1. ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
复制代码

--------------------------------------------------------------------------------

开网上邻居.bat
  1. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS
  2. -x
  3. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/135" -f *+0:135:TCP -n PASS
  4. -x
  5. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/139" -f *+0:139:TCP -n PASS
  6. -x
  7. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n PASS
  8. -x
  9. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n PASS
  10. -x
  11. rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n
  12. PASS -x
  13. ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/135" -f *+0:135:UDP -n
  14. PASS -x
  15. ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n
  16. PASS -x
  17. ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n
  18. PASS -x
  19. ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n
  20. PASS
  21. -x
复制代码

禁sql端口.bat

  1. --------------------------------------------------------------------------------
  2. 以下内容只有回复后才可以浏览
  3. ipseccmd
  4. -w REG -p "XIAOWANG" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK
  5. -x
  6. ipseccmd
  7. -w REG -p "XIAOWANG" -r "Block UDP/1433" -f *+0:1433:UDP -n
  8. BLOCK
  9. -x
  10. --------------------------------------------------------------------------------
复制代码



禁危险端口.bat
  1. rem
  2. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n BLOCK
  3. -x
  4. rem
  5. ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP
  6. -n BLOCK
  7. -x
  8. rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f
  9. *+0:3389:TCP -n
  10. BLOCK -x
  11. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445"
  12. -f *+0:445:TCP -n
  13. BLOCK -x >nul
  14. ipseccmd -w REG -p "XIAOWANG" -r
  15. "Block UDP/445" -f
  16. *+0:445:UDP -n BLOCK -x >nul
  17. ipseccmd -w REG -p
  18. "XIAOWANG" -r "Block
  19. TCP/1025" -f *+0:1025:TCP -n BLOCK -x
  20. >nul
  21. ipseccmd -w REG -p "XIAOWANG"
  22. -r "Block UDP/139" -f *+0:139:UDP
  23. -n BLOCK -x >nul
  24. ipseccmd -w REG -p
  25. "XIAOWANG" -r "Block TCP/1068" -f
  26. *+0:1068:TCP -n BLOCK -x >nul
  27. ipseccmd
  28. -w REG -p "XIAOWANG" -r "Block
  29. TCP/5554" -f *+0:5554:TCP -n BLOCK -x
  30. >nul
  31. ipseccmd -w REG -p
  32. "XIAOWANG" -r "Block TCP/9995" -f *+0:9995:TCP -n
  33. BLOCK -x
  34. >nul
  35. ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9996" -f
  36. *+0:9996:TCP
  37. -n BLOCK -x >nul
  38. ipseccmd -w REG -p "XIAOWANG" -r "Block
  39. TCP/6129" -f
  40. *+0:6129:TCP -n BLOCK -x >nul
  41. ipseccmd -w REG -p "XIAOWANG"
  42. -r "Block
  43. ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
  44. ipseccmd -w REG -p

复制代码

用2000的用ipsecpol,这个与IPSeccmd大同小异。

附上微软的说明书
创建用于阻止通信的静态策略
基于 Windows Server 2003 和 Windows XP 的计算机
对于没有启用本地定义的 IPSec 策略的系统,请创建一个新的本地静态策略,以阻止定向到 Windows Server 2003 和 Windows XP 计算机上的特定协议和特定端口的通信。为此,请按照下列步骤操作:1. 验证 IPSec Policy Agent 服务已在“服务 MMC”管理单元中启用并启动。
2. 安装 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。

注意:IPSeccmd.exe 将在 Windows XP 和 Windows Server 2003 操作系统中运行,但仅有 Windows XP SP2 支持工具包中提供此工具。

有关下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
838079 Windows XP Service Pack 2 支持工具
3. 打开命令提示符窗口,然后将工作文件夹设置为安装 Windows XP Service Pack 2 支持工具的文件夹。

注意:Windows XP SP2 支持工具的默认文件夹是 C:\Program Files\Support Tools。
4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的 Windows Server 2003 或 Windows XP 计算机的 IP 地址的网络通信,请使用以下命令。

注意:在以下命令中,Protocol 和 PortNumber 是变量。
  1. IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound
  2. ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
复制代码
例如,要阻止从任何 IP 地址和任何源端口发往 Windows Server 2003 或 Windows XP 计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
以下示例可阻止对 TCP 端口 80 的入站访问,但是仍然允许出站 TCP 80 访问。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”蠕虫和“Nimda”蠕虫的攻击。
  1. IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f
  2. *=0:80:TCP -n BLOCK -x
复制代码

注意:-x 开关会立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令。

注意:在此命令中,Protocol 和 PortNumber 是变量:
  1. IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound
  2. ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
复制代码


例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中添加任意数量的筛选规则。例如,可以使用此命令通过同一策略阻止多个端口。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。

要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:\Program Files\Support Tools,然后键入以下命令:
  1. netdiag /test:ipsec /debug
复制代码

正如这些示例中所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息:
IP 安全测试。. . . . . . . . :
传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注意:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同。


服务器安全——史上最强ip安全策略
http://www.chenyu.me/thread-13380-1-1.html

IP安全策略设置方法详细图文解说
http://www.chenyu.me/thread-13293-1-1.html

服务器安全配置之ip安全策略设置
http://www.chenyu.me/thread-13291-1-1.html
冠伊之光 发表于 2012-1-26 12:19:48 | 显示全部楼层
难得好贴,赞一个,继续努力啊
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表