您的位置:积木首页 >> 黑客技术频道 >> 黑客工具 >> 正文:
标题:如何使用IPSec 阻止特定网络协议和端口
时间:2005-2-26 来源:不详 浏览数:

来源:http://support.microsoft.com/

概要

Internet 协议安全 (IPSec) 筛选规则可用于帮助保护基于 Windows 2000 的计算机免遭病毒及蠕虫等威胁带来的、基于网络的攻击。本文介绍如何为入站和出站网络通信筛选特定的协议和端口组合。本文还包括用于确定当前是否为基于 Windows 2000 的计算机指定了 IPSec 策略的步骤、用于创建和指定新的 IPSec 策略的步骤以及用于取消指定和删除 IPSec 策略的步骤。

更多信息

IPSec 策略可以在本地应用,也可以作为域的组策略的一部分应用于该域的成员。本地 IPSec 策略可以是静态的(重新启动后一直有效),也可以是动态的(易失效)。静态 IPSec 策略被写入本地注册表并在操作系统重新启动后一直有效。动态 IPSec 策略没有被永久性地写入注册表,并且在操作系统或 IPSec Policy Agent 服务重新启动后被删除。

重要说明:本文包含有关使用 Ipsecpol.exe 编辑注册表的信息。编辑注册表之前,一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 256986 Microsoft Windows 注册表说明 注意:IPSec 筛选规则会导致网络程序丢失数据和停止响应网络请求,包括无法对用户进行身份验证。只有当您清楚地了解阻止特定端口对您的环境具有的影响之后,才应将 IPSec 筛选规则作为一种迫不得已的防护措施加以采用。如果您按照本文列出的步骤创建的 IPSec 策略对您的网络程序有不利影响,请参阅本文稍后的“取消指定和删除 IPSec 策略”一节,了解有关如何立即禁用和删除该策略的说明。

确定是否已指定 IPSec 策略

在为基于 Windows 2000 的计算机创建或指定任何新的 IPSec 策略之前,请确定是否有通过本地注册表或组策略对象 (GPO) 应用的任何 IPSec 策略。为此,您需要: 1. 从 Windows 2000 CD 上的 Support\Tools 文件夹中运行 Setup.exe,安装 Netdiag.exe。 2. 打开命令提示窗口,然后将工作文件夹设置为 C:\Program Files\Support Tools。 3. 运行以下命令以验证“尚未”为该计算机指定现有 IPSec 策略: netdiag /test:ipsec如果没有指定策略,您将收到以下消息: IP Security test .. . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

创建一个用于阻止通信的静态策略

对于没有启用本地定义的 IPSec 策略的系统,请按照下列步骤创建一个新的本地静态策略,以阻止发送到基于 Windows 2000 的、没有指定现有 IPSec 策略的计算机上的特定协议和端口的通信: 1. 验证 IPSec Policy Agent 服务是否已在“服务 MMC”管理单元中启用并启动。 2. 访问下面的 Microsoft Web 站点以下载并安装 Ipsecpol.exe: http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp 3. 打开命令提示窗口,然后将工作文件夹设置为您在其中安装了 Ipsecpol.exe 的文件夹。

注意:Ipsecpol.exe 的默认文件夹为 C:\Program Files\Resource Kit。 4. 要创建一个新的本地 IPSec 策略和筛选规则,并将其应用于从任何 IP 地址发送到您要配置的、基于 Windows 2000 的计算机的 IP 地址的网络通信,请使用以下语法(其中协议端口号 是变量): ipsecpol -w REG -p "Block 协议端口号 Filter" -r "Block Inbound 协议端口号 Rule" -f *=0:端口号:协议 -n BLOCK –x 例如,要阻止从任何 IP 地址和任何源端口发往基于 Windows 2000 的计算机上的目标端口 UDP 1434 的网络通信,请键入以下命令。此策略可以有效地保护运行 Microsoft SQL Server 2000 的计算机免遭“Slammer”蠕虫的攻击。 ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x以下示例可阻止对 TCP 端口 80 进行的入站访问,但是仍然允许进行出站 TCP 80 访问。此策略可以有效地保护运行 Microsoft Internet 信息服务 (IIS) 5.0 的计算机免遭“Code Red”和“Nimda”蠕虫的攻击。 ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x注意-x 开关可以立即指定该策略。如果您输入此命令,将取消指定“Block UDP 1434 Filter”策略,并指定“Block TCP 80 Filter”。要添加但不指定该策略,请在键入该命令时不在结尾带 -x 开关。 5. 要向阻止特定网络通信( 基于 Windows 2000 的计算机发往任何 IP 地址)的现有“Block UDP 1434 Filter”策略中添加其他筛选规则,请使用以下语法(其中协议端口号 是变量): ipsecpol -w REG -p "Block 协议端口号 Filter" -r "Block Outbound 协议端口号 Rule" -f *0=:端口号:协议 -n BLOCK例如,要阻止从基于 Windows 2000 的计算机发往任何其他主机上的 UDP 1434 的任何网络通信,请键入以下命令。此策略可以有效地阻止运行 SQL Server 2000 的计算机传播“Slammer”蠕虫。 ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK注意:您可以使用此语法向策略中添加所需数量的筛选规则(例如,使用同一策略阻止多个端口)。 6. 步骤 5 中的策略现在将生效,并将在每次重新启动计算机后一直存在。但是,如果以后为计算机指定了基于域的 IPSec 策略,此本地策略将被覆盖并将不再适用。要验证您的筛选规则是否已成功指定,请在命令提示符处,将工作文件夹设置为 C:\Program Files\Support Tools,然后键入以下命令: netdiag /test:ipsec /debug如这些示例所示,如果同时指定了用于入站通信和出站通信的策略,您将收到以下消息: IP Security test .. . . . . . . . :
Passed Local IPSec Policy Active:'Block UDP 1434 Filter' IP Security Policy Path:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

There are 2 filters
No Name
Filter Id:{5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
Policy Id:{509492EA-1214-4F50-BF43-9CAC2B538518}
Src Addr :0.0.0.0 Src Mask :0.0.0.0
Dest Addr :192.168.1.1 Dest Mask :255.255.255.255
Tunnel Addr :0.0.0.0 Src Port :0 Dest Port :1434
Protocol:17 TunnelFilter:No
Flags :Inbound Block
No Name
Filter Id:{9B4144A6-774F-4AE5-B23A-51331E67BAB2}
Policy Id:{2DEB01BD-9830-4067-B58A-AADFC8659BE5}
Src Addr :192.168.1.1 Src Mask :255.255.255.255
Dest Addr :0.0.0.0 Dest Mask :0.0.0.0
Tunnel Addr :0.0.0.0 Src Port :0 Dest Port :1434
Protocol:17 TunnelFilter:No
Flags :Outbound Block

注意:IP 地址和图形用户界面 (GUID) 号将不同。它们将反映基于 Windows 2000 的计算机的相应内容。

[1] [2] 下一页


(责任编辑:笑虎)
最近更新
今日推荐
热点文章