采用IPSec策略编程实现屏蔽IP功能

最新推荐文章于 2024-04-18 16:00:39 发布
最新推荐文章于 2024-04-18 16:00:39 发布
阅读量160 收藏
点赞数
文章标签: 操作系统 java 网络
原文链接:http://www.cnblogs.com/blacksword/archive/2013/04/08/3008833.html
版权

Windows下实现屏蔽IP的功能,很多人可能会联想到使用一些复杂的技术来解决,比如NDIS中间层驱动,甚至NDIS钩子驱动。但这些技术太过深奥,只有精通Windows编程的人才玩得转。如果你对Windows编程不是特别了解又没有太多时间,或者你根本一窍不通,那么你可以试试采用Windows网络配置命令netsh来解决这些问题。

本文是采用IPSec策略来实现此功能。Windows 2000/XP/2003平台最早就提供了这个工具,考虑到兼容性的问题Windows之后的版本同样也提供了,只是在此基础上还增加了新的功能advfirewall(本文不予探讨,有兴趣的可以点击链接查看)。

IPSec策略的配置有两种方法,前提是IPSec服务已经启动

  • 运行secpol.msc,进入IP安全策略再进一步定制安全策略,这里不详述。
  • 进入命令行下执行netsh ipsec命令,配置IPSec策略。PS:netsh ipsec命令不是很复杂,尽管官方文档特别长,看起来有点吓人。

先介绍一下IPSec策略的基本组成:

一个IPSec策略通常由一个或者多个规则组成;每个规则由一个IP筛选器列表和一个对应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成。

因此配置IPSec的时候必须要分步进行。规则由筛选器列表和筛选器操作构成,而且存放在策略里,策略器由策略器列表来存储。这样就决定了一个步骤:

建立空的安全策略 -> 建立筛选器列表 -> 建立筛选器操作 -> 指派策略

看一下下面的例子就明白了,这是我从别人博客上拿过来的例子:

'建立一个名字叫XBLUE的安全策略先
netsh ipsec static add policy name=XBLUE

'建立一个ip筛选器,指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TCP

'建立一个筛选器操作
netsh ipsec static add filteraction name=denyact action=block

'加入规则到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact

'激活这个策略
netsh ipsec static set policy name=XBLUE assign=y

'把安全策略导出
netsh ipsec static exportpolicy d:\ip.ipsec

'删除所有安全策略
netsh ipsec static del all

'把安全策略导入
netsh ipsec static importpolicy d:\ip.ipsec

'激活这个策略
netsh ipsec static set policy name=策略名称 assign=y

大家可以根据这个例子在命令行里面尝试,同时你也可以在命令行下查看命令参数的说明,很方便。

有了前面的这些做铺垫,后面的程序就好写了。我要实现的功能很简单,可以指定单个IP地址、单个IP地址和端口号或存有IP地址信息的文件(每行可以是单个IP地址或者单个IP地址和端口号)为输入。如果地址没有给定端口号,将该地址屏蔽;如果地址给定了端口号,屏蔽该地址对应端口的TCP和UDP协议。

在实现程序前,编写了两个批处理脚本用来支撑本程序的运行:备份本地安全策略.bat还原本地安全策略.bat。简而言之就是在程序运行前先备份,必要时还原即可。

备份本地安全策略.bat 
 1 @echo off
 2 cls
 3 netsh ipsec static exportpolicy ip.ipsec
 4 netsh ipsec static delete all
 5 netsh ipsec static add policy name=abandon
 6 netsh ipsec static add filterlist name=denyip
 7 netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=me dstport=3389 protocol=UDP
 8 netsh ipsec static add filteraction name=denyact action=block
 9 netsh ipsec static add rule name=killu policy=abandon filterlist=denyip filteraction=denyact
10 netsh ipsec static set policy name=abandon assign=y
11 pause
12 exit
还原本地安全策略.bat 
1 @echo off
2 cls
3 
4 netsh ipsec static delete all
5 netsh ipsec static importpolicy ip.ipsec
6 netsh ipsec static set policy name=local assign=y
7 pause
8 exit

贴上程序代码,很简单理解,不多说。

  1 package cn.edu;
  2 
  3 import java.io.BufferedReader;
  4 import java.io.File;
  5 import java.io.FileReader;
  6 import java.io.IOException;
  7 import java.util.regex.Matcher;
  8 import java.util.regex.Pattern;
  9 import java.lang.InterruptedException;
 10 
 11 /**
 12  * 
 13  * @author kelvin 
 14  *    
 15  *     指定一个IP列表文件或IP地址,并将文件中所有对应的IP地址和端口号或指定的IP地址和端口号过滤 
 16  *       指令格式: IPFilter type [filename|IPAddr]
 17  *       type类型:-f表示文件 
 18  *                 -a表示IP地址 
 19  *     IP地址格式: [IP]:[port] 或 [IP]
 20  *     eg:  java IPFilter -f ip.txt
 21  *          java IPFilter -a 192.168.1.1:80
 22  *          java IPFilter -a 192.168.1.1
 23  */
 24 public class IPFilter {
 25 
 26     // [IP]:[port]正则表达式
 27     private static final String IPADDRESS_PORT_PATTERN = "^([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 28             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 29             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 30             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5]):([0-9]|[1-9]\\d{1,3}|[1-5]\\d{4}|6[0-4]\\d{3}|65[0-4]\\d{2}|655[0-2]\\d|6553[0-5])$";
 31     
 32     // IP地址正则表达式
 33     private static final String IPADDRESS_PATTERN = "^([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 34             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 35             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5])\\."
 36             + "([01]?\\d\\d?|2[0-4]\\d|25[0-5])$";
 37     
 38     // 筛选器列表名称
 39     private static final String FILTER_LIST_NAME = "denyip";
 40 
 41     /**
 42      * @param args
 43      * @throws IOException, InterruptedException
 44      */
 45     public static void main(String[] args) throws IOException, InterruptedException {
 46         if (args.length != 2) {
 47             printUsage();
 48             return;
 49         }
 50         
 51         Pattern ip_port_pattern = Pattern.compile(IPADDRESS_PORT_PATTERN);
 52         Pattern ip_pattern = Pattern.compile(IPADDRESS_PATTERN);
 53         if (args[0].equals("-f")) {
 54             File filterFile = null;
 55             BufferedReader br = null;
 56             String ipAddr = null;
 57             try {
 58                 filterFile = new File(args[1]);
 59                 if(!filterFile.exists()) {
 60                     System.out.println(args[1]+"不存在");
 61                     return;
 62                 }
 63                 
 64                 br = new BufferedReader(new FileReader(filterFile));
 65 
 66                 while ((ipAddr = br.readLine()) != null) {
 67                     if (ipAddr.length() <= 0)
 68                         continue;
 69                     
 70                     if (ip_port_pattern.matcher(ipAddr).matches()) { // [IP]:[port]
 71                         
 72                         String ipAddrDetail[] = ipAddr.split(":");
 73                         
 74                         // 可保留前两个或后两个,也可以全写
 75                         // me -> [IP]:[port] TCP
 76                         Runtime.getRuntime().exec(
 77                                 "netsh ipsec static add filter filterlist="
 78                                         + FILTER_LIST_NAME
 79                                         + " srcaddr=me dstaddr="
 80                                         + ipAddrDetail[0] 
 81                                         + " dstport="
 82                                         + ipAddrDetail[1]
 83                                         +" protocol=TCP").waitFor();
 84                         
 85                         // me -> [IP]:[port] UDP
 86                         Runtime.getRuntime().exec(
 87                                 "netsh ipsec static add filter filterlist="
 88                                         + FILTER_LIST_NAME
 89                                         + " srcaddr=me dstaddr="
 90                                         + ipAddrDetail[0] 
 91                                         + " dstport="
 92                                         + ipAddrDetail[1]
 93                                         +" protocol=UDP").waitFor();
 94                         
 95                         // [IP]:[port] -> me TCP
 96                         Runtime.getRuntime().exec(
 97                                 "netsh ipsec static add filter filterlist="
 98                                         + FILTER_LIST_NAME
 99                                         + " srcaddr="
100                                         + ipAddrDetail[0]
101                                         +" dstaddr=me srcport="
102                                         + ipAddrDetail[1]
103                                         + " protocol=TCP").waitFor();
104                         
105                         // [IP]:[port] -> me UDP
106                         Runtime.getRuntime().exec(
107                                 "netsh ipsec static add filter filterlist="
108                                         + FILTER_LIST_NAME
109                                         + " srcaddr="
110                                         + ipAddrDetail[0]
111                                         +" dstaddr=me srcport="
112                                         + ipAddrDetail[1]
113                                         + " protocol=TCP").waitFor();
114                         
115                         System.out.println("已过滤" + ipAddr);
116                     } else if(ip_pattern.matcher(ipAddr).matches()) {
117                         // 保留其中一个即可,也可以全写
118                         // me -> [IP]
119                         Runtime.getRuntime().exec(
120                                     "netsh ipsec static add filter filterlist="
121                                             + FILTER_LIST_NAME
122                                             + " srcaddr=me dstaddr="
123                                             + ipAddr
124                                             + " protocol=ANY").waitFor();
125                         
126                         // [IP] -> me
127                         Runtime.getRuntime().exec(
128                                 "netsh ipsec static add filter filterlist="
129                                         + FILTER_LIST_NAME
130                                         + " srcaddr="
131                                         + ipAddr 
132                                         +" dstaddr=me protocol=ANY").waitFor();
133                         System.out.println("已过滤" + ipAddr);
134                     } else {
135                         System.out.println(ipAddr + "不是合法的格式");
136                     }
137                 }
138             } catch (Exception e) {
139                 e.printStackTrace();
140             } finally {
141                 if (br != null) {
142                     br.close();
143                     br = null;
144                 }
145             }
146             System.out.println("done!");
147         } else if (args[0].equals("-a")) {
148             if (ip_pattern.matcher(args[1]).matches()) {
149                 // me -> [IP]
150                 Runtime.getRuntime().exec(
151                         "netsh ipsec static add filter filterlist="
152                                 + FILTER_LIST_NAME + " srcaddr=me dstaddr="
153                                 + args[1]
154                                 + " protocol=ANY").waitFor();
155                 
156                 // [IP] -> me
157                 Runtime.getRuntime().exec(
158                         "netsh ipsec static add filter filterlist="
159                                 + FILTER_LIST_NAME + " srcaddr="
160                                 + args[1]
161                                 +" dstaddr=me protocol=ANY").waitFor();
162                 
163                 System.out.println("已过滤" + args[1]);
164             } else if(ip_port_pattern.matcher(args[1]).matches()) {
165                 String ipAddrDetail[] = args[1].split(":");
166                 
167                 // me -> [IP]:[port] TCP
168                 Runtime.getRuntime().exec(
169                             "netsh ipsec static add filter filterlist="
170                                     + FILTER_LIST_NAME 
171                                     + " srcaddr=me dstaddr="
172                                     + ipAddrDetail[0]
173                                      + " dstport="
174                                      + ipAddrDetail[1]
175                                     + " protocol=TCP").waitFor();
176                 
177                 // me -> [IP]:[port] UDP
178                 Runtime.getRuntime().exec(
179                             "netsh ipsec static add filter filterlist="
180                                     + FILTER_LIST_NAME 
181                                     + " srcaddr=me dstaddr="
182                                     + ipAddrDetail[0]
183                                      + " dstport="
184                                      + ipAddrDetail[1]
185                                     + " protocol=UDP").waitFor();
186 
187                 // [IP]:[port] -> me UDP
188                 Runtime.getRuntime().exec(
189                         "netsh ipsec static add filter filterlist="
190                                 + FILTER_LIST_NAME 
191                                 + " srcaddr="
192                                 + ipAddrDetail[0]
193                                 +" dstaddr=me"
194                                 + " srcport="
195                                 + ipAddrDetail[1]
196                                 + " protocol=UDP").waitFor();
197                 
198                 // [IP]:[port] -> me TCP
199                 Runtime.getRuntime().exec(
200                         "netsh ipsec static add filter filterlist="
201                                 + FILTER_LIST_NAME 
202                                 + " srcaddr="
203                                 + ipAddrDetail[0]
204                                 +" dstaddr=me"
205                                 + " srcport="
206                                 + ipAddrDetail[1]
207                                 + " protocol=TCP").waitFor();
208                 
209                 System.out.println("已过滤" + args[1]);
210             } else {
211                 System.out.println(args[1] + "不是合法的格式");
212             }
213         } else {
214             printUsage();
215         }
216 
217     }
218 
219     static void printUsage() {
220         System.out.println("Usage:IPFilter type [filename|IPAddr]");
221         System.out.println("type: [-f | -a]");
222         System.out.println("           -f filename");
223         System.out.println("           -a IPAddr");
224     }
225 
226 }

编译完成后,可以执行查看运行结果:

1. 屏蔽117.30.180.209:19122,执行以下命令:

java cn.edu.IPFilter -a 117.30.180.209:19122

 

2. 屏蔽屏蔽117.30.180.209,执行以下命令:

java cn.edu.IPFilter -a 117.30.180.209

 

3. 屏蔽ip.txt中地址信息,执行以下命令:

java cn.edu.IPFilter -f ip.txt
ip.txt 
1 118.166.7.250:11638
2 75.40.16.53
3 117.30.189.209:19122

转载于:https://www.cnblogs.com/blacksword/archive/2013/04/08/3008833.html

weixin_34007906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java调用ipsec,IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel ...
weixin_31061699的博客
03-16 954
IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel mode)例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀態: 例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀...
IPSec学习笔记
weixin_45813589的博客
04-09 522
IPSec知识
windows防护之(一)屏蔽危险端口_netsh ipsec static add filter filterlist=deny445 s
最新发布
2401_84239901的博客
04-18 466
add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP445端口 dstport=445 protocol=tcp mirrored=yes。add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP135端口 dstport=135 protocol=tcp mirrored=yes。CMD命令行执行即可。
windows操作系统屏蔽ip办法
fulerbakesi
06-06 290
为什么要屏蔽IP?以前我做网站的时候,有来自一个网段的几个IP大量的GET,POST请求。甚至是对搜索请求。及其浪费系统资源和带宽。导致网站访问非常慢(类似网速慢时上网那种感觉)。可以看出主要目的是攻击WEB程序。 在系统级别屏蔽IP,该方法效率最高。 如果你是windows 2003操作系统,依次点击开始菜单--》管理工具--》本地安全策略。windows XP操作类似。 下一步,...
使用本地IP安全策略阻止指定IP访问本机
psbeyond的专栏
12-24 2903
作者:刘树伟 日期:2020-12-24 Windows防火墙可以阻止所有IP访问本机,如果想让某个IP访问本机,就把它加到“例外”规则中,“例外”规则就相当于白名单,但防火墙没有黑名单,不能指定阻止某个IP的访问。 如果想阻止某个IP访问本机,可以使用“本地IP安全策略”。运行“secpol.msc”可以打开“本地安全设置”,里面有“IP 安全策略,在 本地计算机”设置项,通过它,就可以达到阻止指定IP访问本机的目的。 如果想这么做,首先要在“IP 安全策略,在 本地计算机”...
IPSEC实现方式
遇见你是我最美丽的意外
05-15 9067
IPSEC实现方式 在IPSEC通信中涉及到一个重要方面,那就是如何定义要保护的数据流(又称为感兴趣流)。这不仅涉及到IPSEC最终要保护哪部分数据,还关系到IPSEC实现方式,因此有必要把感兴趣流的定义方式进行详细说明。 1. 感兴趣流的定义方式 “感兴趣流”指的是哪些数据可以进入IPsec隧道进行传输,哪些数据不能进入IPsec隧道传输。在现有的IPsec 实现过程中,最常用的实现方式有两种:“基于ACL”、“基于虚拟隧道接口”。下面我们对这两中方式进行详细的介绍。 2. 基于ACL(访问控制)方式
IPSEC.zip 修改IP安全策略
03-22
IPSEC.zip 用来通过命令行格式修改IP安全策略。微软提供,很强大。
python实现ipsec开权限实例
12-23
本文实例讲述了python实现ipsec开权限的方法。分享给大家供大家参考。具体实现方法如下: windows自带的命令行工具netsh ipsec static add filter不支持批量添加,还会添加重复的规则进去。我用python编写了ipsecset...
使用脚本添加IP安全策略ipsec.pdf
09-26
"使用脚本添加IP安全策略ipsec" 在 Windows 操作系统中,我们可以使用 IP 安全策略来保护我们的系统,特别是在安装系统的过程中,不需要借助其他软件就可以很好地保护系统。本文将提供在 Win2k 和 Win2k3 下的两个 ...
使用netsh命令来管理IP安全策略(详细介绍)
09-30
首先,要进入IP安全策略的配置界面,您需要打开命令提示符(cmd.exe),然后输入`netsh ipsec static`命令。这将使您能够执行与IP安全策略相关的各种操作。 1. 创建IP安全策略: 创建一个新的IP安全策略,可以使用`...
通过ike自动协商建立IPSec策略.docx
12-16
通过不同厂家设备之间的应用ike自动协商技术,描述ike在设备间是怎么去实现协商和实现ipsec安全策略技术的,并把在实现过程中所碰到的技术问题都加以说明和阐述,并附上解决方法。
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
MySQL主从复制与读写分离
Ryu_hayabusa的博客
04-16 314
MySQL主从复制与读写分离一、MySQL主从复制1. 时间同步2. 配置主从同步3. 验证二、MySQL读写分离 一、MySQL主从复制 1. 时间同步 准备一台主服务器两台从服务器,主服务器IP:192.168.117.30,从服务器IP:192.168.117.60,172.16.10.10 主服务器: yum install ntp -y vim /etc/ntp.conf server 127.127.88.0 本地是时钟源 fudge 127.127.88.0 strat
Linux-Nginx网站服务配置
Ryu_hayabusa的博客
03-30 796
Linux-LNMP架构安装论坛一、编译安装Nginx服务1. 关闭防火墙、拖入并解压安装包2. 安装依赖包3. 创建运行用户、组4. 编译安装Nginx5. 检查、启动、重启、停止 nginx服务6. 添加Nginx系统服务二、Nginx服务的主配置文件1. 全局配置2. I/O 事件配置3. HTTP配置4. 浏览器进行访问5. 日志格式设定三、访问状态统计配置1. 查看已安装的Nginx是否包含http_stub_status模块2. 指定访问位置并添加stub_status配置3. 重启服务,访问测
ipsec ip替换_采用IPSec策略编程实现屏蔽IP功能
weixin_39567222的博客
12-20 379
Windows下实现屏蔽IP功能,很多人可能会联想到使用一些复杂的技术来解决,比如NDIS中间层驱动,甚至NDIS钩子驱动。但这些技术太过深奥,只有精通Windows编程的人才玩得转。如果你对Windows编程不是特别了解又没有太多时间,或者你根本一窍不通,那么你可以试试采用Windows网络配置命令netsh来解决这些问题。本文是采用advfirewall(本文不予探讨,有兴趣的可以点击链接查...
AF 终端安全防护实验
runtime888的博客
11-26 1674
实验拓扑 图 1-1 实验需求 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,长沙分公司在内网中旁挂 WOC 作为 VPN 设备 配置 IPsec VPN,使深圳总部和长沙分公司内网互通 实验解法 在深圳总部和长沙分公司的公网出口设备上配置端口映射,使 IPsec VPN 设备公网可见   分析:由于 VPN 设备旁挂在内网中,所以需要在各自的公网出口设备上配置端口映射。IPsec 需要映射 UDP500 端口,另外还需要映射 IKE 协议的 UDP4500 端口   深圳总
1. 全面讲解 IPSec 基本原理
jj1130050965的博客
01-03 3455
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两张抓包图片。 IPSec 通讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安
Docker-compose-consul部署Ningx+Tomcat+ELK分析Nginx访问日志
Ryu_hayabusa的博客
06-10 653
Docker-compose-consul部署Ningx+Tomcat+ELK分析Nginx访问日志一、Docker-compose部署Tomcat1. 安装compose2. 编写Dockerfile文件3. 编写dockers-compose.yml文件4. 执行yml文件创建容器二、配置consul自动同步1. 部署consul服务器2. 配置容器服务自动加入consul集群3. 配置consul-template实现自动更新配置文件4. 编译安装nginx5. 启动template三、部署ELK收集
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6284
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
ENSP上有几种IPSec策略
05-14
在ENSP中,有以下几种IPSec策略: 1. 入站IPSec策略:用于控制从外部网络流入的IPSec数据流的处理方式。 2. 出站IPSec策略:用于控制从本地网络流出...以上四种IPSec策略可以根据不同的安全策略需求进行配置和实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值