-lan}] [-1s SecurityMethodList] [-1k Phase1RekeyAfter] [-1p] [-confirm] [-w TYPE:DOMAIN] [-p PolicyName:PollInterval] [-r RuleName] [-x] [-y] [-o]
下面我们对常用的几个参数进行解释:
-f FilterList:过滤列表,这个列表的格式应该是下面这样的:A.B.C.D/mask:port=A.B.C.D/mask:port:protocol,左边的A.B.C.D代表的是源IP,右边的是目标IP,mask代表子网掩码,port是端口,protocol是协议类型。我们举个例子,比如我的IP是166.111.30.30,我要把来自IP地址是166.111.40.40对我的Tcp端口7626请求的数据包过滤。那么这个过滤列表就应该是这样的:
166.111.40.40/255.255.252.0:7626=166.111.30.30/255.255.252.0:7626:tcp
当然这里我们还可以使用通配符,用*代表任何IP地址,用0代表我自己的IP地址,我们还可以使用+符号,比如0+*:139:TCP代表过滤自己主机和任何来源ip的tcp端口139数据包;*+0:139:TCP代表过滤任何来源IP对自己主机tcp129端口发送的数据包。
-w TYPE:DOMAIN:这个是策略写入的位置,可以是注册表,这样类型是REG;也可以存储在目录里,这样的类型是DS。我们一般选择是REG;
-p PolicyName:PollInterval:这个是策略的名称,比如“Block RPC Attack Vectors”;
-r RuleName:这个是规则的名称,比如“Block Outbound TCP 445 Rule”;
-x:激活(指派)刚才配置的IP安全策略。
-y:不指派配置的IP安全策略。
-o:删除刚才设置的安全策略。
我们一般用的参数也就这样几个,其他的大家可以参看帮助文件。
三:具体实例
还是来讲实例吧,我们结合“冲击波”蠕虫来进行解说。“冲击波”利用的端口有Tcp135、4444端口,Udp69端口,此外它还会发送Icmp数据包。此外与RcpDcom有关的端口是Tcp135、445、139、593端口,Udp135、137、138、445端口。
如果我们要防范“冲击波”蠕虫,我们需要把来自外部对以上标明端口的连接过滤,为了不影响
网络速度,还要禁止Icmp包。假如我们感染了,还要防止自己主机向外部发送数据,因此我们来创建策略,策略名比如是:Anti Blaster,那么我们所要的命令如下:
ipsecpol -w REG -p "Anti Blaster" -r "Block Inbound TCP 135 Rule" -f *+0:135:TCP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Outbound TCP 135 Rule" -f 0+*:135:TCP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Inbound TCP 4444 Rule" -f *+0:4444:TCP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Outbound TCP 4444 Rule" -f 0+*:4444:TCP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Inbound UDP 69 TFTP Rule" -f *+0:69:UDP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Outbound UDP 69 TFTP Rule" -f 0+*:69:UDP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Inbound ICMP Rule" -f *+0:0:ICMP -n BLOCK
ipsecpol -w REG -p "Anti Blaster" -r "Block Outbound ICMP Rule" -f 0+*:0:ICMP -n BLOCK
最后,我们还要激活这个安全策略,命令是:ipsecpol -w REG -p "Anti Blaster" –x
更保险点的是,禁止对Rpc相关端口的连接,这样我们运行的命令如下:
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound UDP 135 Rule" -f *+0:135:UDP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound TCP 135 Rule" -f *+0:135:TCP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound UDP 137 Rule" -f *+0:137:UDP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound UDP 138 Rule" -f *+0:138:UDP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound TCP 139 Rule" -f *+0:139:TCP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound TCP 445 Rule" -f *+0:445:TCP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound UDP 445 Rule" -f *+0:445:UDP -n BLOCK
ipsecpol -w REG -p "Block RPC Attack" -r "Block Inbound TCP 593 Rule" -f *+0:593:TCP -n BLOCK
然后再用命令ipsecpol -w REG -p "Block RPC Attack" –x来激活安全策略。上面只过滤了传入的连接请求,如果是过滤传出的,那么只要把*和0互换,把Inbound改成Outbound就可以了。
那如果“冲击波”过去了,我们不需要这样的安全策略的时候怎么办,当然你也可以在MMC(控制台)里删除掉,也可以用命令行来实现,比如我们要删除刚才防止冲击波的策略,具体命令是:
ipsecpol -w REG -p "Anti Blaster" –y //先用-y参数不指派这个策略
ipsecpol -w REG -p "Anti Blaster" –o //然后用-o参数删除
我们可以写一个批处理来实现这样的功能,这个批处理可以在光盘里找到,以后要设置策略时,只要把端口修改下就可以了,即节省了时间,效率也大大提高了 :P。
文章就介绍到这里,如果大家有更好的方法或者是经验,可以与我交流,文章的不足之处也请大家指正。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:命令行下也玩IPSec