2023年6月24日发(作者：)

IPSec

⾸先需要指出的是，IPSec和TCP/IP筛选是不同的东西，⼤家不要混淆了。TCP/IP筛选的功能⼗分有限，远不如IPSec灵活和强⼤。下⾯就说说如何在命令⾏下控制IPSec。XP系统⽤ipseccmd，2000下⽤ipsecpol。遗憾的是，它们都不是系统⾃带的。ipseccmd在xp系统安装盘的 中，ipsecpol在2000 Resource Kit⾥。⽽且，要使⽤ipsecpol还必须带上另外两个⽂件：和。三个⽂件⼀共119KB。IPSec可以通过组策略来控制，但我找遍MSDN，也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以，组策略这条路⾛不通。IPSec的设置保存在注册表中

(HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocal)，理论上可以通过修改注册表来配置IPSec。但很多信息以⼆进制形式存放，读取和修改都很困难。相⽐之下，上传命令⾏⼯具更⽅便。关于ipsecpol和ipseccmd的资料，上可以找到很多，因此本⽂就不细说了，只是列举⼀些实⽤的例⼦。

在设置IPSec策略⽅⾯，ipseccmd命令的语法和ipsecpol⼏乎完全⼀样，所以只以ipsecpol为例：1，防御rpc-dcom攻击ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端⼝。

具体含义如下：

-p myfirewall 指定策略名为myfirewall

-r rpc-dcom 指定规则名为rpc-dcom

-f …… 建⽴7个筛选器。*表⽰任何地址(源)；0表⽰本机地址(⽬标)；+表⽰镜像(双向)筛选。详细语法见ipsecpol -?

-n BLOCK 指定筛选x作是“阻塞”。注意，BLOCK必须是⼤写。

-w reg 将配置写⼊注册表，重启后仍有效。

-x ⽴刻激活该策略。2，防⽌被pingipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x如果名为myfirewall的策略已存在，则antiping规则将添加⾄其中。

注意，该规则同时也阻⽌了该主机ping别⼈。3，对后门进⾏IP限制

假设你在某主机上安装了DameWare Mini Remote Control。

为了保护它不被别⼈暴破密码或溢出，应该限制对其服务端⼝6129的访问。ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg

ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x这样就只有123.45.67.89可以访问该主机的6129端⼝了。

如果你是动态IP，应该根据IP分配的范围设置规则。⽐如：ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg

ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x这样就允许123.45.67.1⾄123.45.67.254的IP访问6129端⼝。在写规则的时候，应该特别⼩⼼，不要把⾃⼰也阻塞了。如果你不确定某个规则的效果是否和预想的⼀样，可以先⽤计划任务“留下后路”。例如：c:>net start schedule

Task Scheduler 服务正在启动 ..

Task Scheduler 服务已经启动成功。c:>time /t

12:34c:>at 12:39 ipsecpol -p myfw -y -w reg

新加了⼀项作业，其作业 ID = 1然后，你有5分钟时间设置⼀个myfw策略并测试它。5分钟后计划任务将停⽌该策略。如果测试结果不理想，就删除该策略。