什么是IPSEC我就不多说了,大家就当是个内嵌的防火墙好了
以前一直给服务器做的部署.当然了,也在普通PC上也是可以的
设置所在位置,控制面板--本地安全策略---IP安全策略
以前基本都是手工配的,比较繁琐
现在使用ipseccmd.exe这个微软组策略命令,做个批处理设置组策略的IPSEC 那就方便很多了
做个简单的演示吧 ------------------------------------------------------------------------------------------------------------------------------------ @echo off ipseccmd -w REG -p "freesky" -o -x >nul ipseccmd -w REG -p "freesky" -x >nul ipseccmd -w REG -p "freesky" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x >nul ipseccmd -w REG -p "freesky" -r "Block UDP/135" -f *+0:135:UDP -n BLOCK -x >nul echo 禁止Location Service服务! echo. echo 任意键退出! pause>nul --------------------------------------------------------------------------------------------------------------------------------------------- 其实就是禁用外部所有IP到本地IP的TCP与UDP的135端口,将上面代码保存成BAT文件, 运行后产生 freesky 新的IPSEC安全组策略 大家可以打开现在的本地安全策略看看,是否有了freesky这个项,
点开看看,是不是有两条关于禁135的策略,一条是TCP的一条是UDP的
其他的可以参考以上命令,比如可以禁止别人PING自己啊,禁止远程桌面,禁止SQL数据库等等,说白了就是封堵端口 禁PING ipseccmd -w REG -p "freesky" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x 禁远程桌面 ipseccmd -w REG -p "freesky" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x 禁SQL的 ipseccmd -w REG -p "freesky" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x ipseccmd -w REG -p "freesky" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
| ipseccmd.exe的常用的参数如下: -w reg 表明将配置写入注册表,重启后仍有效。 -p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。 -r 指定规则名称。 -n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。 -x 激活该策略。 -y 使之无效。 -o 删除-p指定的策略。 其中最关键的是-f。它用来设置你的过滤规则, 使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址, 0代表我自己的IP地址。还可以使用通配符,比如192.168.*.* 等效于 192.168.0.0/255.255.0.0。 上文中的-f *+0 其实就是 任意的源地址到本地地址,双向的某端口 使用ipseccmd /?可以获得它的帮助。
|