|
|
先请注意:-x 开关会立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令。
注意:在此命令中,Protocol 和 PortNumber 是变量:
- IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound
- ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
复制代码
例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中添加任意数量的筛选规则。例如,可以使用此命令通过同一策略阻止多个端口。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。
要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:\Program Files\Support Tools,然后键入以下命令:
- netdiag /test:ipsec /debug
复制代码
正如这些示例中所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息:
IP 安全测试。. . . . . . . . :
传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注意:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同。
由于帖上我在用的bat,微软的说明书放不下了。所以放上微软使用说明书原文:
别以为微软的网站都是些单调的文章,这篇可是关于ip安全策略的好文章。值得下载到硬盘里收着,所以我就传上来了。
附上我现在在用的bat文件
禁止被ping.bat (声明,这个bat是是根据爱虫ip安全策略和合工大网络中心安全应急响应组的安全策略改的)
--------------------------------------------------------------------------------
以下内容只有回复后才可以浏览
- ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
复制代码
--------------------------------------------------------------------------------
开网上邻居.bat
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS
- -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/135" -f *+0:135:TCP -n PASS
- -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/139" -f *+0:139:TCP -n PASS
- -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n PASS
- -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n PASS
- -x
- rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n
- PASS -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/135" -f *+0:135:UDP -n
- PASS -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n
- PASS -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n
- PASS -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n
- PASS
- -x
复制代码
禁sql端口.bat
- --------------------------------------------------------------------------------
- 以下内容只有回复后才可以浏览
- ipseccmd
- -w REG -p "XIAOWANG" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK
- -x
- ipseccmd
- -w REG -p "XIAOWANG" -r "Block UDP/1433" -f *+0:1433:UDP -n
- BLOCK
- -x
- --------------------------------------------------------------------------------
复制代码
禁危险端口.bat
- rem
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n BLOCK
- -x
- rem
- ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP
- -n BLOCK
- -x
- rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f
- *+0:3389:TCP -n
- BLOCK -x
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445"
- -f *+0:445:TCP -n
- BLOCK -x >nul
- ipseccmd -w REG -p "XIAOWANG" -r
- "Block UDP/445" -f
- *+0:445:UDP -n BLOCK -x >nul
- ipseccmd -w REG -p
- "XIAOWANG" -r "Block
- TCP/1025" -f *+0:1025:TCP -n BLOCK -x
- >nul
- ipseccmd -w REG -p "XIAOWANG"
- -r "Block UDP/139" -f *+0:139:UDP
- -n BLOCK -x >nul
- ipseccmd -w REG -p
- "XIAOWANG" -r "Block TCP/1068" -f
- *+0:1068:TCP -n BLOCK -x >nul
- ipseccmd
- -w REG -p "XIAOWANG" -r "Block
- TCP/5554" -f *+0:5554:TCP -n BLOCK -x
- >nul
- ipseccmd -w REG -p
- "XIAOWANG" -r "Block TCP/9995" -f *+0:9995:TCP -n
- BLOCK -x
- >nul
- ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9996" -f
- *+0:9996:TCP
- -n BLOCK -x >nul
- ipseccmd -w REG -p "XIAOWANG" -r "Block
- TCP/6129" -f
- *+0:6129:TCP -n BLOCK -x >nul
- ipseccmd -w REG -p "XIAOWANG"
- -r "Block
- ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
- ipseccmd -w REG -p
复制代码
用2000的用ipsecpol,这个与IPSeccmd大同小异。
附上微软的说明书
创建用于阻止通信的静态策略
基于 Windows Server 2003 和 Windows XP 的计算机
对于没有启用本地定义的 IPSec 策略的系统,请创建一个新的本地静态策略,以阻止定向到 Windows Server 2003 和 Windows XP 计算机上的特定协议和特定端口的通信。为此,请按照下列步骤操作:1. 验证 IPSec Policy Agent 服务已在“服务 MMC”管理单元中启用并启动。
2. 安装 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。
注意:IPSeccmd.exe 将在 Windows XP 和 Windows Server 2003 操作系统中运行,但仅有 Windows XP SP2 支持工具包中提供此工具。
有关下载和安装 Windows XP Service Pack 2 支持工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
838079 Windows XP Service Pack 2 支持工具
3. 打开命令提示符窗口,然后将工作文件夹设置为安装 Windows XP Service Pack 2 支持工具的文件夹。
注意:Windows XP SP2 支持工具的默认文件夹是 C:\Program Files\Support Tools。
4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的 Windows Server 2003 或 Windows XP 计算机的 IP 地址的网络通信,请使用以下命令。
注意:在以下命令中,Protocol 和 PortNumber 是变量。
- IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound
- ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
复制代码 例如,要阻止从任何 IP 地址和任何源端口发往 Windows Server 2003 或 Windows XP 计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
以下示例可阻止对 TCP 端口 80 的入站访问,但是仍然允许出站 TCP 80 访问。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”蠕虫和“Nimda”蠕虫的攻击。
- IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f
- *=0:80:TCP -n BLOCK -x
复制代码
注意:-x 开关会立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,则在键入该命令时不要在结尾带 -x 开关。
5. 要向现有的“Block UDP 1434 Filter”策略(阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何 IP 地址的网络通信)添加其他筛选规则,请使用以下命令。
注意:在此命令中,Protocol 和 PortNumber 是变量:
- IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound
- ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
复制代码
例如,要阻止从基于 Windows Server 2003 或 Windows XP 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中添加任意数量的筛选规则。例如,可以使用此命令通过同一策略阻止多个端口。
6. 步骤 5 中的策略现在将生效,并且在每次重新启动计算机后都会生效。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。
要验证您的筛选规则是否已成功指定,请在命令提示符下将工作文件夹设置为 C:\Program Files\Support Tools,然后键入以下命令:
- netdiag /test:ipsec /debug
复制代码
正如这些示例中所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息:
IP 安全测试。. . . . . . . . :
传递的本地 IPSec 策略活动:'Block UDP 1434 Filter' IP 安全策略路径:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
有 2 个筛选
无名称
筛选 ID:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
策略 ID:{509492EA-1214-4F50-BF43-9CAC2B538518}
源地址:0.0.0.0 源掩码:0.0.0.0
目标地址:192.168.1.1 目标掩码:255.255.255.255
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:入站阻止
无名称
筛选 ID:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
策略 ID:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
源地址:192.168.1.1 源掩码:255.255.255.255
目标地址:0.0.0.0 目标掩码:0.0.0.0
隧道地址:0.0.0.0 源端口:0 目标端口:1434
协议:17 TunnelFilter:无
标记:出站阻止
注意:根据是基于 Windows Server 2003 还是基于 Windows XP 的计算机,IP 地址和图形用户界面 (GUID) 号会有所不同。
服务器安全——史上最强ip安全策略
http://www.chenyu.me/thread-13380-1-1.html
IP安全策略设置方法详细图文解说
http://www.chenyu.me/thread-13293-1-1.html
服务器安全配置之ip安全策略设置
http://www.chenyu.me/thread-13291-1-1.html |
|