ipseccmd IP安全策略命令解析

2024-07-16 17:45:02

字體：大中小

來源：轉載

供稿：網友

IPSec
首先需要指出的是，IPSec和TCP/IP篩選是不同的東西，大家不要混淆了。TCP/IP篩選的功能十分有限，遠不如IPSec靈活和強大。下面就說說如何在命令行下控制IPSec。

XP系統用ipseccmd 本站附件下載

2000下用ipsecpol。
WIN2003下直接就是IPSEC命令。遺憾的是，它們都不是系統自帶的。ipseccmd在xp系統安裝盤的SUPPORT/TOOLS/SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol還必須帶上另外兩個文件：ipsecutil.dll和text2pol.dll。三個文件一共119KB。

winxp命令行下ipsec屏蔽不安全的端口

IPSec叫做Internet協議安全。主要的作用是通過設置IPsec規則，提供網絡數據
包的加密和認證。不過這樣高級的功能我無緣消受，只是用到了篩選功能罷了。通過設置規則進行數據包的篩選器，可以屏蔽不安全的端口連接。

你可以運行gpedit.msc，在Windows設置>>計算機設置>>IP安全設置中進行手工設
置。更加簡單的方法是使用ipseccmd命令。

ipseccmd在WindowsXP中沒有默認安裝，他在XP系統安裝盤的
SUPPORT/TOOLS/SUPPORT.CAB中。在Windows2000中它的名字叫做ipsecpol，默認
應該也沒有安裝，你自己找找看吧。

使用ipseccmd設置篩選，它的主要作用是設置你的篩選規則，為它指定一個名稱，
同時指定一個策略名稱，所謂策略不過是一組篩選規則的集合而已。比如你要封
閉TCP135端口的數據雙向收發，使用命令：

ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x

這里我們使用的是靜態模式，常用的參數如下：
-w reg 表明將配置寫入注冊表，重啟后仍有效。
-p 指定策略名稱，如果名稱存在，則將該規則加入此策略，否則創建一個。
-r 指定規則名稱。
-n 指定操作，可以是BLOCK、PASS或者INPASS，必須大寫。
-x 激活該策略。
-y 使之無效。
-o 刪除-p指定的策略。
其中最關鍵的是-f。它用來設置你的過濾規則，格式為
A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址，后面
是目的地址。如果使用+，則表明此規則是雙向的。IP地址中用*代表任何IP地址，
0代表我自己的IP地址。還可以使用通配符，比如144.92.*.* 等效于
144.92.0.0/255.255.0.0。使用ipseccmd /?可以獲得它的幫助。

如果希望將規則刪除，需要先使用-y使之無效，否則刪除后它還會持續一段時間。
參考下面代碼清單。

好了，這樣你就可以使用ipsec根據自己的需要方便得自己定制你的篩選規則了。
如果有不安全的端口，或者你不太喜歡的IP地址，你就可以把它們封鎖在你的大

上一篇：17種正則表達式

下一篇：讓Editplus自動格式化css和js 的插件