server2003修复ipsec服务器,win2003服务器通过ipsec做防火墙的配置方法

最新推荐文章于 2023-04-20 12:10:12 发布
最新推荐文章于 2023-04-20 12:10:12 发布
阅读量288 收藏
点赞数
文章标签: server2003修复ipsec服务器

windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制

在windows2003下是可以通过命令 netsh ipsec进行操作

命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule

1、删除所有安全策略netsh ipsec static del all

2、建立策略testnetsh ipsec static add policy name=test

3、建立一个筛选器操作,可以理解为动作,匹配规则后执行的操作,类似Linux的iptables中的ACCEPT和DROP建立拒绝操作

netsh ipsec static add filteraction name=block action=block

建立接受操作

netsh ipsec static add filteraction name=permit action=permit

4、添加筛选器列表,用于拒绝操作,类似iptables的默认规则netsh ipsec static add filterlist name=deny_all

添加筛选器,拒绝所有的连接

netsh ipsec static add filter filterlist=deny_all srcaddr=Any dstaddr=Me

5、将创建的拒绝所有请求的筛选器和筛选器操作添加到策略testnetsh ipsec static add rule name=deny_all policy=test filterlist=deny_all filteraction=block

6、建立服务器本身对外访问的策略

建立筛选器列表server_access

netsh ipsec static add filterlist name=server_access

在筛选器列表server_access中添加一个筛选器,允许本机的任意端口到任意地址的,协议端口根据需要自己添加

netsh ipsec static add filter filterlist=server_access srcaddr=Me dstaddr=any protocol=tcp dstport=80

在策略test中应用筛选器server_access,并且对匹配筛选器的数据包执行允许操作

netsh ipsec static add rule name=server_access policy=test filterlist=server_access filteraction=permit

7、建立web服务器访问策略

建立筛选器列表web

netsh ipsec static add filterlist name=web

在筛选器列表web上添加筛选器,允许外部任意地址对本机的80端口的访问

netsh ipsec static add filter filterlist=web srcaddr=any dstaddr=Me dstport=80

在策略test中应用筛选器列表web

netsh ipsec static add rule name=web policy=test filterlist=web filteraction=permit

8、建立ftp服务器访问策略

netsh ipsec static add filterlist name=ftp

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=21

为ftp服务器添加被动端口,这里这添加三个作为测试

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65530

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65531

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65532

netsh ipsec static add rule name=ftp policy=test filterlist=ftp fileraction=permit

顾汐漫
关注
Win2003 系统服务器防火墙
01-20
Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。   Internet连接防火墙的设置   在Windows 2003服务器上,对直接连接到 Internet 的计算机启用防火墙功能,支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。   1. 启动/停止防火墙   (1)打开“网络连接”,右击要保护的连接,单击“属性”,出现“本地连接属性”对话框。   (2)单击“高级”选项卡,出现如图1所示启动/停止防火墙界面
win2003服务器通过ipsec防火墙配置方法
01-20
windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制 在windows2003下是可以通过命令 netsh ipsec进行操作 命令的语法:...
win2003服务器怎么通过ipsec防火墙
weixin_44400506的博客
04-10 225
windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制   在windows2003下是可以通过命令 netsh ipsec进行操作   命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule   1、删...
Windows Server 2003自带防火墙设置
B.C.的专栏
07-11 2785
“冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击,因此防范此类病毒的简单方法就是屏蔽不必要的端口,防火墙软件都有此功能,其实对于采用Windows 2003或者Windows XP的用户来说,不需要安装任何其他软件,因为可以利用系统自带的“Internet连接防火墙”来防范黑客的攻击。  一、基本设置
Windows server 2003 组策略部署 Windows 防火墙
guoguozhi_2009的专栏
09-17 1427
Windows server 2003 组策略部署 Windows 防火墙          在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?   Windows防火
Windows2003 IPsec
weixin_33800463的博客
08-14 67
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。 ...
如何:使用 IPSec 保护两个服务器之间的通信.doc
最新发布
06-29
根据给定文件的信息,本文将详细介绍如何利用IPSec(Internet Protocol Security)技术来保护两台服务器之间的通信。IPSec是一种由Windows 2000及后续版本提供的安全协议套件,用于在网络层(即OSI模型中的第三层)...
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
阿里云windows服务器安全设置(防火墙策略)
01-10
通过防火墙策略限制对外扫描行为 请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间。 ...
ipsec netsh五步
04-22
说明使用netsh配置ipsec的步骤,配置完毕后两台pc可以通过ipsec协议通信
ipsec,用于简单是设置2003的ip安全策略
11-20
这个用来简单设置ip安全策略,容易使用,只需要在允许或者不允许的端口后边加上相应的主机ip或者ip段就可以了
Windows Server 2003 图形界面添加防火墙策略
allway2的博客
04-20 957
默认情况下445端口的范围是允许“子网”访问,所以我们需要选择“更改范围”(注意一定要选中445端口那行,默认选中的是第一行即139那行,直接更改范围只能改139端口的范围)切换至“例外”选项卡,下边的“程序和服务”默认已配了一些服务和端口,但处理未勾选状态,未勾选一样是未没添加至例外的防火墙一样不允许访问。常常启用防火墙,还是希望某端口能被某些IP所访问,而防火墙默认是禁止所有IP访问本机的所有端口的,此时我们就需要添加例外。由于445端口已在“文件和打印共享”中,所以选中“文件和打印共享”--“编缉”
server2003修复ipsec服务器,windows-server-2003Windows Server 2003 IPSec隧道已连接但无法工作(可能与NAT / RRAS相关)...
weixin_29901323的博客
08-03 370
组态我根据Microsoft KB816514中的说明在Windows Server 2003(SBS)计算机和Netgear FVG318之间设置了“原始”IPSec隧道.配置如下(使用与文章相同的约定):NetA | SBS2003 | FVG318 | NetB10.0.0.0/24 | 216.x.x.x | 69.y.y.y | 10.0.254.0/24主模式...
HOW TO:如何在 Windows Server 2003配置 IPSec 隧道
编程开发资料库
11-14 736
本任务的内容 • 概要 • 更多信息 • 创建 IPSec 策略 • 建立从 NetA 到 NetB 的筛选器列表 • 建立从 NetB 到 NetA 的筛选器列表 • 为 NetA 到 NetB 隧道配置规则 • 为 NetB 到 NetA 隧道配置规则 • 将新的 IPSec 策略指派到 Windows Server 2003 网关...
Win2003 Server安全配置完整篇
梁凉凉的专栏
02-27 1972
一、先关闭不需要的端口   我比较小心,先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一
如何开启Win2000/XP/2003IPsec客户端程序?
卢弋 的个人技术专栏 -- 总结使人进步
08-25 1786
http://www.gb.tomshardware.com/howto/03q3/030915/index.html 另参见知识库http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q240262&ID=KB;EN-US;Q240262&LN=EN-US&rnk=1&SD=gn&FR=1&qry=Q240262&src=DHCS
华为防火墙通过公网IP与ubuntu20.04公网服务器 ipsec连接配置
04-04
1. 在华为防火墙配置IPSec VPN 首先,在华为防火墙配置IPSec VPN,以便与Ubuntu 20.04公网服务器建立安全连接。 1.1 创建IKE策略 IKE是IPSec的关键协议之一,用于建立安全的VPN隧道。在华为防火墙上,我们需要创建IKE策略来定义IKE协议的参数。 在命令行界面下,输入以下命令: [Huawei] ipsec ike proposal ike-proposal1 [Huawei-ike-proposal-ike-proposal1] encryption-algorithm aes-cbc-256 [Huawei-ike-proposal-ike-proposal1] integrity-algorithm sha1 [Huawei-ike-proposal-ike-proposal1] dh group14 该命令创建了一个IKE策略,指定了加密算法、完整性算法和Diffie-Hellman密钥交换组。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.2 创建IPSec策略 IPSec是用于加密数据的另一个重要协议。我们需要在华为防火墙上创建IPSec策略,以定义加密参数。 在命令行界面下,输入以下命令: [Huawei] ipsec proposal ipsec-proposal1 [Huawei-ipsec-proposal-ipsec-proposal1] esp encryption-algorithm aes-cbc-256 [Huawei-ipsec-proposal-ipsec-proposal1] esp integrity-algorithm sha1 该命令创建了一个IPSec策略,指定了加密和完整性算法。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.3 创建IPSec VPN 现在,我们可以使用上述IKE和IPSec策略创建IPSec VPN。 在命令行界面下,输入以下命令: [Huawei] ipsec vpn vpn1 [Huawei-ipsec-vpn-vpn1] ike proposal ike-proposal1 [Huawei-ipsec-vpn-vpn1] ipsec proposal ipsec-proposal1 [Huawei-ipsec-vpn-vpn1] remote-address 1.2.3.4 [Huawei-ipsec-vpn-vpn1] quit 该命令创建了一个名为vpn1的IPSec VPN,指定了IKE和IPSec策略,并将其绑定到Ubuntu 20.04公网服务器的公共IP地址。 2. 在Ubuntu 20.04公网服务器配置IPSec VPN 接下来,在Ubuntu 20.04公网服务器配置IPSec VPN,以便与华为防火墙建立安全连接。 2.1 安装StrongSwan StrongSwan是一个流行的开源IPSec VPN实现,我们将使用它来配置Ubuntu 20.04公网服务器。 在终端中,输入以下命令: $ sudo apt-get update $ sudo apt-get install strongswan 这将安装StrongSwan。 2.2 配置IPSec VPN 现在,我们需要配置StrongSwan以与华为防火墙建立IPSec VPN。 在终端中,打开/etc/ipsec.conf文件: $ sudo nano /etc/ipsec.conf 将以下内容添加到文件末尾: conn vpn1 keyexchange=ikev1 authby=secret ike=3des-sha1-modp1024 esp=aes256-sha1 left=2.3.4.5 # Ubuntu 20.04公网服务器的公共IP地址 leftsubnet=192.168.1.0/24 # Ubuntu 20.04公网服务器的本地子网 right=1.2.3.4 # 华为防火墙的公共IP地址 rightsubnet=192.168.2.0/24 # 华为防火墙的本地子网 auto=start 这将创建一个名为vpn1的IPSec连接,指定了IKE和IPSec参数,并将其绑定到Ubuntu 20.04公网服务器和华为防火墙的本地子网。 2.3 配置PSK 我们还需要为IPSec VPN配置预共享密钥(PSK)。 在终端中,打开/etc/ipsec.secrets文件: $ sudo nano /etc/ipsec.secrets 将以下内容添加到文件末尾: 2.3.4.5 1.2.3.4 : PSK "mysecretpassword" 这将为Ubuntu 20.04公网服务器和华为防火墙之间的IPSec连接配置PSK。 3. 测试IPSec VPN 现在,我们可以测试IPSec VPN是否正常工作。 在Ubuntu 20.04公网服务器上,输入以下命令以启动IPSec连接: $ sudo ipsec up vpn1 如果一切正常,您将看到以下输出: initiating Main Mode IKE_SA vpn1[1] to 1.2.3.4 generating ID_PROT request 0 [ SA V V V V V ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (184 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (184 bytes) parsed ID_PROT response 0 [ SA V V V V V ] received NAT-T (RFC 3947) vendor ID received XAuth vendor ID received DPD vendor ID received FRAGMENTATION vendor ID received unknown vendor ID: 1f:07:17:00:00:00:00:00:00:00:00:00:00:00:00:00 generating ID_PROT request 0 [ KE No NAT-D NAT-D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (244 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (244 bytes) parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] local host is behind NAT, sending keep alives generating ID_PROT request 0 [ ID HASH ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (100 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (68 bytes) parsed ID_PROT response 0 [ ID HASH ] IKE_SA vpn1[1] established between 2.3.4.5[2.3.4.5]...1.2.3.4[1.2.3.4] scheduling reauthentication in 10046s maximum IKE_SA lifetime 10586s generating QUICK_MODE request 2499452192 [ HASH SA No ID ID ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (188 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (188 bytes) parsed INFORMATIONAL_V1 request 4026938035 [ HASH D ] received packet: from 1.2.3.4[500] to 2.3.4.5[500] (76 bytes) generating INFORMATIONAL_V1 response 4026938035 [ HASH D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (76 bytes) 这表示IPSec连接已成功建立。 现在,您可以从Ubuntu 20.04公网服务器上访问华为防火墙的本地子网,并从华为防火墙上访问Ubuntu 20.04公网服务器的本地子网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值