netsh ipsec 使用方法

在命令行下，通過netsh ipsec static來配置IPSEC安全策略。前提是IPSEC服務(wù)已經(jīng)打開。
一個(gè)IPSEC由一個(gè)或者多個(gè)規(guī)則組成；一個(gè)規(guī)則有一個(gè)IP篩選器列表和一個(gè)相應(yīng)的篩選器操作組成；這個(gè)篩選器列表和篩選器可以是系統(tǒng)本身所沒有的，如果沒有則需要自行建立，而一個(gè)篩選器又由一個(gè)或多個(gè)篩選器組成，因此配置IPSEC的時(shí)候必須分步進(jìn)行。規(guī)則由篩選器列表和篩選器操作構(gòu)成。而且存放在策略里，策略器由策略器列表來存儲(chǔ)，這樣就決定了一個(gè)步驟：建立空的安全策略，建立篩選器列表，建立篩選器操作，這三步不需要特定的順序，建立篩選器需要在空篩選器列表建立成以后；建立規(guī)則在上述三步驟完成之后。下面開始配置策略的新增，修改，刪除、最重要的是激活；

更詳細(xì)的資料請(qǐng)參考微軟的技術(shù)資源庫(kù)：

Netsh Commands for Internet Protocol Security (IPsec)

連接如下：http://technet.microsoft.com/zh-cn/cc725926

備注：注意連接里的 Netsh Commands for Windows Firewall with Advanced Security.連接，他給你的幫助會(huì)更大；

導(dǎo)出IPsec安全策略：Netsh ipsec static exportpolicy file = d:/ExportSecurity.ipsec
導(dǎo)入IPsec安全策略：Netsh ipsec static importpolicy file = d:/ImportSecurity.ipsec
1、建立一個(gè)新的策略
1.1首先建立一個(gè)空的安全策略[Michael's安全策略]
Netsh ipsec static add policy name = Michael's安全策略
1.2建立一個(gè)篩選器操作”阻止”
Netsh ipsec static add filteraction name = 阻止 action =block
1.3建立一個(gè)篩選器列表“可訪問的終端列表”
Netsh ipsec static add filterlist name =可訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表
srcaddr=203.86.32.248
dstaddr = me dstport = 3389
description = 部門1訪問 protocol =TCP mirrored = yes
Netsh ipsec static add filter filterlist = 可訪問的終端列表
Srcaddr = 203.86.31.0 srcmask=255.255.255.0
dstaddr = 60.190.145.9 dstport = 0
description = 部門2訪問 protocol =any mirrored = yes
1.4建立策略規(guī)則
Netsh ipsec static add rule name =可訪問的終端策略規(guī)則
Policy = Michael's安全策略
filterlist =可訪問的終端列表
filteraction = 阻止
2、修改策略
netsh ipsec static set filter filterlist = 可訪問的終端列表
srcaddr = 220.207.31.249
dstaddr = Me dstport=3389 protocol=TCP
3、刪除策略
netsh ipsec static delete rule name = 可訪問的終端策略規(guī)則 policy = Michael's安全策略
netsh ipsec static delete filterlist name = 可訪問的終端列表
4、最最重要的一步是激活；
netsh ipsec static set policy name = Michael's安全策略 assign = y
以下提供一個(gè)我自己寫的實(shí)例：

復(fù)制代碼 代碼如下:

echo 創(chuàng)建安全策略
Netsh IPsec static add policy name = APU安全策略
echo 創(chuàng)建篩選器是阻止的操作
Netsh IPsec static add filteraction name = 阻止 action = block
echo 創(chuàng)建篩選器是允許的操作
Netsh IPsec static add filteraction name = 允許 action = permit
echo 建立一個(gè)篩選器可以訪問的終端列表
Netsh IPsec static add filterlist name = 可訪問的終端列表
Netsh IPsec static add filter filterlist = 可訪問的終端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
echo 建立一個(gè)篩選器可以訪問的終端列表
Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes
echo 建立策略規(guī)則
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = APU安全策略 filterlist = 可訪問的終端列表 filteraction = 阻止
echo 激活策略
netsh ipsec static set policy name = APU安全策略 assign = y
pause

或者

復(fù)制代碼 代碼如下:

Netsh ipsec static add policy name = 默認(rèn)策略名稱
pause
Netsh ipsec static add filteraction name = 阻止操作 action = block
pause
Netsh ipsec static add filteraction name = 允許操作 action = permit
pause
Netsh ipsec static add filterlist name = 訪問列表
pause
Netsh ipsec static add filterlist name = 阻止列表
pause
Netsh ipsec static add filter filterlist = 訪問列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes
pause
Netsh ipsec static add filter filterlist = 訪問列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol = any mirrored = yes
pause
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = 默認(rèn)策略名稱 filterlist = 訪問列表1 filteraction = 阻止操作
pause
Netsh ipsec static add rule name = 可訪問的終端策略規(guī)則 Policy = 默認(rèn)策略名稱 filterlist = 訪問列表2 filteraction = 阻止操作
pause
netsh ipsec static set policy name = 默認(rèn)策略名稱 assign = y
pause

[以下是轉(zhuǎn)載未經(jīng)過測(cè)試，百度上都可以找的到。]

復(fù)制代碼 代碼如下:

REM =================開始================
netsh ipsec static ^
add policy name=bim
REM 添加2個(gè)動(dòng)作，block和permit
netsh ipsec static ^
add filteraction name=Permit action=permit
netsh ipsec static ^
add filteraction name=Block action=block
REM 首先禁止所有訪問
netsh ipsec static ^
add filterlist name=AllAccess
netsh ipsec static ^
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any
netsh ipsec static ^
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block
REM 開放某些IP無限制訪問
netsh ipsec static ^
add filterlist name=UnLimitedIP
netsh ipsec static ^
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me
netsh ipsec static ^
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit
REM 開放某些端口
netsh ipsec static ^
add filterlist name=OpenSomePort
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static ^
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit
REM 開放某些ip可以訪問某些端口
netsh ipsec static ^
add filterlist name=SomeIPSomePort
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP
netsh ipsec static ^
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit

前言：
IPSec的全稱是Internet Protocol Security，翻譯成中文就是Internet協(xié)議安全性。它的作用主要有兩個(gè)：一個(gè)是保護(hù) IP 數(shù)據(jù)包的內(nèi)容，另外一點(diǎn)就是通過數(shù)據(jù)包篩選并實(shí)施受信任通訊來防御網(wǎng)絡(luò)攻擊。這對(duì)于我們當(dāng)有一些重要的數(shù)據(jù)在傳輸?shù)倪^程中需要加以保護(hù)或者防止監(jiān)聽來說無疑是一個(gè)好消息，因?yàn)閃indows 2000已經(jīng)內(nèi)置了這個(gè)功能，我們不再需要借助其他的工具以實(shí)現(xiàn)這個(gè)目的了。
由于是在IP層進(jìn)行對(duì)數(shù)據(jù)的對(duì)稱加密，封裝的是整個(gè)的IP數(shù)據(jù)包，所以不需要為 TCP/IP 協(xié)議組中的每個(gè)協(xié)議設(shè)置單獨(dú)的安全性，因?yàn)閼?yīng)用程序使用 TCP/IP 來將數(shù)據(jù)傳遞到 IP 協(xié)議層，并在這里進(jìn)行保護(hù)。相應(yīng)的IPSec配置相對(duì)復(fù)雜，但是對(duì)于應(yīng)用程序來說是透明的，因此不要求應(yīng)用程序必須支持。下面分幾個(gè)部分對(duì)IPSec的概念、工作過程和實(shí)踐應(yīng)用等幾個(gè)方面加以闡述：
一、 IPSec的工作的過程：
兩臺(tái)計(jì)算機(jī)在通訊的時(shí)候，如果已經(jīng)設(shè)置好IPSec的策略，主機(jī)在通訊的時(shí)候會(huì)檢查這個(gè)策略，策略在應(yīng)用到主機(jī)的時(shí)候會(huì)有一個(gè)協(xié)商的過程，這個(gè)過程通過Security Association來實(shí)現(xiàn)。協(xié)商后根據(jù)Policy的配置，兩臺(tái)計(jì)算機(jī)之間建立一個(gè)加密的連接，數(shù)據(jù)進(jìn)行加密傳輸。驅(qū)動(dòng)程序?qū)⒔饷艿臄?shù)據(jù)包傳輸給TCP/IP的驅(qū)動(dòng)程序，然后傳輸給接收端的應(yīng)用程序。
二、 進(jìn)入IPSec控制界面：
有兩種方式可以打開，功能是完全一樣的：
 開始-運(yùn)行-管理工具-本地安全策略
 MMC-添加/刪除管理單元-添加-IP安全管理策略-確定
三、 預(yù)定義的策略：
缺省的是沒有啟用IPSec，需要進(jìn)行指派。我們可以發(fā)現(xiàn)系統(tǒng)已經(jīng)給我們定義了三個(gè)策略，下面非別進(jìn)行介紹。
 安全服務(wù)器：必須使用IPSec，如果對(duì)方不使用IPSec，則通訊無法完成。用于始終需要安全通訊的計(jì)算機(jī)。
 客戶端：功能是缺省在通訊過程中不使用IPSec，如果對(duì)方要求IPSec，它也可以使用IPSec。用于在大部分時(shí)間不能保證通訊的計(jì)算機(jī)。
 服務(wù)器：功能是缺省使用IPSec，但是對(duì)方如果不支持IPSec，也可以不使用IPSec。用于在大部分時(shí)間能保證通訊的計(jì)算機(jī)。
策略可以在單臺(tái)計(jì)算機(jī)上進(jìn)行指派，也可以在組策略上批量進(jìn)行指派。值得注意的是為了達(dá)到可以通過協(xié)商后進(jìn)行通訊，所以通訊的兩端都需要設(shè)置同樣的策略并加以指派。
四、 IPSec的工作方式：
 傳送模式（計(jì)算機(jī)之間安全性配置）：保護(hù)兩個(gè)主機(jī)之間的通訊，是默認(rèn)的IPSec模式。傳送模式只支持Windows2000操作系統(tǒng)，提供點(diǎn)對(duì)點(diǎn)的安全性。
 隧道模式（網(wǎng)絡(luò)之間安全性配置）：封裝、發(fā)送和拆封過程稱之為“隧道”。一般實(shí)現(xiàn)方法是在兩個(gè)路由器上完成的。在路由器兩端配置使用IPSec，保護(hù)兩個(gè)路由器之間的通訊。主要用于廣域網(wǎng)上，不提供各個(gè)網(wǎng)絡(luò)內(nèi)部的安全性。
五、 IPSec的身份驗(yàn)證方法:
 Kerberos V5：（默認(rèn)）如果是在一個(gè)域中的成員，又是Kerberos V5協(xié)議的客戶機(jī)，選擇這一項(xiàng)。比如一個(gè)域中的Windows 2000的計(jì)算機(jī)。
 證書：需要共同配置信任的CA。
 預(yù)共享密鑰：雙方在設(shè)置策略的時(shí)候使用一段共同協(xié)商好的密鑰。
以上三種方法都可以作為身份驗(yàn)證的方法，一般在日常工作當(dāng)中，如果是域中的Windows 2000的計(jì)算機(jī)之間就采用Kerberos的認(rèn)證方式，由于國(guó)內(nèi)CA用的實(shí)在不多，一般其他情況下可以采用第三種方式，雙方協(xié)商一段密鑰，這個(gè)在后面的例子二中還會(huì)涉及。
六、 IPSec的加密模式：
 身份驗(yàn)證加密技術(shù)：
 SNA
 MD5
 數(shù)據(jù)包加密技術(shù)：
 40-bit DES
 56-bit DES
 3DES：最安全的加密方法，相應(yīng)的也會(huì)消耗更多的系統(tǒng)資源。
以上的概念性的東西大家可以查閱相關(guān)資料，這里就不多多講述了。
七、 應(yīng)用：
以上概念性的東西說了很多，下面正式進(jìn)入實(shí)戰(zhàn)，將通過兩個(gè)例子把IPSec的兩方面的功能進(jìn)行說明。
1、 保護(hù)IP數(shù)據(jù)包的內(nèi)容：為了保護(hù)兩個(gè)主機(jī)之間的通訊信息的安全性，我們將利用IPsec的在兩臺(tái)計(jì)算機(jī)之間建立一個(gè)安全連接。采用預(yù)共享密鑰方式，并強(qiáng)制使用IPSec進(jìn)行通訊加密。例子中有兩臺(tái)計(jì)算機(jī)，第一臺(tái)計(jì)算機(jī)IP為192.168.0.1，第二臺(tái)計(jì)算機(jī)IP為192.168.0.2，如果沒有特殊說明，操作是在第一臺(tái)計(jì)算機(jī)上進(jìn)行。
（1）、進(jìn)入IPSec控制界面，右鍵點(diǎn)擊“安全服務(wù)器”，選中屬性（系統(tǒng)已經(jīng)內(nèi)置了三條規(guī)則，大家可以自己詳細(xì)的看一下作用，為了演示策略的添加過程我們采用自己添加的方式）。點(diǎn)擊“添加”按鈕。
（2）、進(jìn)入安全規(guī)則向?qū)Вc(diǎn)擊“下一步”按鈕。
（3）、根據(jù)實(shí)際情況，我們是實(shí)現(xiàn)兩臺(tái)主機(jī)之間的安全通訊，不是網(wǎng)絡(luò)之間的，所以選擇“此規(guī)則不指定隧道”，因此我們將采用傳送模式。點(diǎn)擊“下一步”按鈕。
（4）、進(jìn)入了選擇網(wǎng)絡(luò)類型的界面，可以選擇的有三種方式，概念應(yīng)該很好理解了，我們選擇“所有網(wǎng)絡(luò)連接”，點(diǎn)擊“下一步”按鈕。
（5）、進(jìn)入了身份驗(yàn)證方法的界面，三種驗(yàn)證方法在上文中已經(jīng)介紹，我們選擇第三種“此字串用來保護(hù)密鑰交換（預(yù)共享密鑰）”，然后在對(duì)話框中輸入我們協(xié)商好的密鑰，比如“hello”。點(diǎn)擊“下一步”按鈕。
（6）、進(jìn)入了“IP篩選器列表”界面，由于我們是要保護(hù)全部的通訊，所有選擇“所有IP通訊”，當(dāng)然也可以自己添加新的篩選器列表，這部分內(nèi)容在第二個(gè)例子中會(huì)提到，點(diǎn)擊“下一步”按鈕。
（7）、進(jìn)入“篩選器操作”界面，根據(jù)我們前面提到的要求，我們選擇要求安全設(shè)置，這里的篩選器操作也是可以自己添加的，例子二中也會(huì)提到，點(diǎn)擊“下一步”按鈕。
（8）、至此安全規(guī)則創(chuàng)建完畢，我們點(diǎn)擊“完成”。
（9）、會(huì)到開始的端口，我們會(huì)發(fā)現(xiàn)已經(jīng)增加了我們新增加的安全規(guī)則。除了選中我們自己創(chuàng)建的規(guī)則以外，我們把其他默認(rèn)規(guī)則的對(duì)勾點(diǎn)無。
（10）、最后，也是非常重要的一點(diǎn)，我們要對(duì)我們創(chuàng)建的策略進(jìn)行指派，否則策略不會(huì)自己生效，點(diǎn)擊“安全服務(wù)器”右鍵，點(diǎn)擊“指派”。
（11）、這個(gè)時(shí)候我們打開一個(gè)窗口，開始使用Ping命令，檢查我們的通訊狀況。例子中的第二臺(tái)計(jì)算機(jī)的IP地址為192.168.0.2，我們執(zhí)行Ping 192.168.0.2 主站蜘蛛池模板： 姚安县| 牡丹江市| 山阴县| 法库县| 成武县| 佳木斯市| 铁力市| 曲周县| 福海县| 英吉沙县| 金寨县| 夹江县| 青田县| 毕节市| 沧州市| 海城市| 黎城县| 于都县| 凤阳县| 伊川县| 朝阳县| 壶关县| 灵川县| 樟树市| 碌曲县| 汉川市| 方山县| 安顺市| 儋州市| 长兴县| 石棉县| 东丰县| 林周县| 扬州市| 荣昌县| 普兰县| 威信县| 牙克石市| 霍山县| 文化| 资阳市|