命令行创建IP安全策略(IPSEC),让系统更安全

已于 2023-11-04 14:55:57 修改
阅读量540 收藏 2
点赞数
文章标签: tcp/ip 安全 网络
于 2023-11-04 14:47:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39326815/article/details/134218309
版权

IPSEC是啥?
简单理解,它是一个类似网络防火墙的东西,可以通过设置规则来限制IP、端口、协议的访问

前提
IPsec Policy Agent 服务必须是运行的状态,设置的规则才会生效

在这里插入图片描述

方法
可以在组策略编辑器中,图形化的创建:
在这里插入图片描述

但这不是今天讲的重点,而且图形化操作缺少效率,本文略过。

命令创建
这里以禁止其它机子访问本机135、139、445端口为例

创建一个策略,名称为“安全策略”:


 netsh ipsec static add policy name="安全策略"

 创建一个动作,名称为“阻止”:
 netsh ipsec static add filteraction name="阻止" action=block
 
 创建一个筛选器,名称为“策略1”(一个策略可以有多个筛选器):
 netsh ipsec static add filterlist name="策略1" 
 
 往“策略1”这个筛选器中,添加135139445端口限制规则:
 netsh ipsec static add filter filterlist="策略1" protocol=tcp  dstport=135 srcaddr=any dstaddr=me  
 
 netsh ipsec static add filter  filterlist="策略1" protocol=tcp dstport=139 srcaddr=any dstaddr=me 
 
 netsh ipsec static add filter filterlist="策略1" protocol=tcp  dstport=445 srcaddr=any dstaddr=me
   
 将“策略1”这个筛选器,加入到“安全策略”中,动作为“阻止”:
 netsh ipsec static add rule name="安全策略" policy="安全策略" filterlist="策略1"  filteraction="阻止" 指派策略,让“安全策略”生效:
 
 netsh ipsec static set policy name="安全策略" assign=y

这样就完成了:
在这里插入图片描述
在这里插入图片描述

删除策略

netsh ipsec static set policy name="安全策略" assign=n

netsh ipsec static delete rule name="安全策略" policy="安全策略"

netsh ipsec static delete filterlist name="策略1"

netsh ipsec static delete policy name="安全策略"

关于这三个端口:
135端口,是Windows一些服务的远程管理端口,非常危险!到目前为止,我还没发现有什么应用场景是必须将它开放的!因此,建议一定要限制它的访问!

139端口,是老系统的共享端口!多老?Win95、Win98!XP以后,共享端口换成了新的445端口,但是为了兼容Win98等老系统的访问,保留了139端口,到现在的Win11中,仍然保留着139端口!但是139端口现在已没有开放的必要,建议限制起来!

445是共享服务端口,因此,如果你需要开放共享给其它机器使用,那就不能限制它!如果不需要,那建议将它限制!

题外话
这三个端口都很危险,过去报出过许多严重的漏洞!

国内知名度很高的“熊猫烧香”,当初正是利用了它们的漏洞进行网络传播!

将它们限制起来,可以预防许多未知的风险!

weixin_39326815
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
windows防护之(一)屏蔽危险端口
qq_40907977的博客
11-30 1268
CMD命令行执行即可 netsh ipsec static ^ add policy name=关闭危险端口 netsh ipsec static ^ add filteraction name=阻止端口 action=block netsh ipsec static ^ add filterlist name=危险端口关闭 netsh ipsec static ^ add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP44
创建和使用IP安全策略加强安全和保密
10-01
IP安全策略IPSec策略)是Windows操作系统中用于增强网络安全的一种机制。IPSec,即Internet Protocol Security,是一种标准协议集,旨在确保IP网络上的通信安全,通过加密和身份验证服务来保护数据传输。Windows的...
使用netsh命令来管理IP安全策略(详细介绍)
09-30
本文介绍使用netsh命令来管理(包括添加、删除、修改)Windows IP安全策略。您可以使用它来批量添加安全策略,需要的朋友可以参考下
windows防护之(一)屏蔽危险端口_netsh ipsec static add filter filterlist=deny445 s
最新发布
2401_84564025的博客
05-17 716
add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP445端口 dstport=445 protocol=tcp mirrored=yes。add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP135端口 dstport=135 protocol=tcp mirrored=yes。add filterlist name=危险端口关闭。
windows服务器设置IP安全策略仅通行指定IP
Arnew_H的博客
07-27 5698
然后找到一个方案说,加个筛选器,源地址选择我的IP,目前地址选择本机IP+掩码(192.168.1.0/24),然而不行。重新插上键盘,发现共享盘是本地的,懵,看了下部署文档,samba用的非默认端口,做了本地端口转发(再加备份服务器的通过,筛选器“备份服务器”-->操作“通过”-->应用-->确定。然后到处点点了,突然好了,重新试了下,问题找到了,在"全部"筛选器里面把。先加全部的阻断,筛选器“全部”-->操作“阻断”-->应用-->确定。先把操作建好,一共有三个,我们只用到了阻止和许可,就先建两个。
windows2003中使用命令行添加IP筛选器规则
weixin_34168700的博客
06-01 249
添加单个IP: netsh ipsec static add filter filterlist=允许访问的端口 srcaddr=192.168.60.20 staddr=me dstport=80 protocol=TCP 添加子网: netsh ipsec static add filter filterlist=允许访问的端口 srcaddr=192.168.60.0 srcmask=...
Windows IPSeccmd使用详解
ccty9527的博客
12-10 211
格式:A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1。如: ipseccmd -w REG -p “policyname” -y。如: ipseccmd -w REG -p “policyname” -y。
来自官方的系统服务说明 (二)
神雕大侠的专栏
01-02 3484
Distributed File SystemDistributed File System 服务管理分布在局域网或广域网 (WAN) 中的逻辑卷,它是 Active Directory SYSVOL 共享所必需的。分布式文件系统 (DFS) 是一种分布式服务,它可将分散的文件共享合并成一个逻辑名称空间。此名称空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。如果
IP安全策略批处理脚本.tx
07-02
根据提供的文件信息,我们可以了解到这是一篇关于Windows系统下的IP安全策略批处理脚本的相关知识点。下面将对这些内容进行详细的解析与说明。 ### 标题解析:IP安全策略批处理脚本 此标题直接表明了该脚本的主要...
阻止制定IP访问本机屏蔽与目标IP的所有通讯
02-05
2. **创建新策略**:点击右键,选择“创建IP安全策略”,然后按照向导设定策略名称和描述,不勾选“激活默认响应规则”。 3. **配置规则**:在新策略中添加规则,选择“阻止”操作,确保在“筛选器操作”中选择阻止...
ipsec netsh五步
04-22
说明使用netsh配置ipsec的步骤,配置完毕后两台pc可以通过ipsec协议通信
Windows IPSec策略
02-01
1. **打开IPSec管理工具**:在命令行输入`mmc`,然后在文件菜单中选择“添加/删除管理单元”,添加“IP安全策略管理”。 2. **创建策略**:在IPSec管理界面,右键点击“本地策略”,选择“创建新策略”,设置策略...
【操作系统】“L2TP 链接尝试失败,因为安全层不能与远程计算机协商兼容的参数”解决方案
热门推荐
沙师弟专栏
04-08 4万+
最近项目原因,要连接VPN来连接到用户方的堡垒机上面。以前没有碰到问题,都很顺利的链接了,如今碰到“L2TP 链接尝试失败,因为安全层不能与远程计算机协商兼容的参数”。因此,解决了一下,现把解决方案公布如下。一般这个服务都是开启的,但有些情况,这个服务被某些进程关掉了,要手动开启下。在修改完注册表后,或者修改服务后,要使其生效,Windows上要重启电脑才行。正常操作,但是Win10系统上碰到了这个问题。修改数值数据框中,把0改为1,然后单击确定。
“L2TP 链接尝试失败,因为安全层不能与远程计算机协商兼容的参数”解决方案
tmosk的博客
04-15 8275
操作系统win10 1、确保“IPsec Policy Agent”服务已经开启。 1.1 、Win+R 快捷输入services.msc进入服务列表 查找IPsec Policy Agent 服务 双击编辑把红线部分设置成下图样子: 1.2、Win+R 快捷输入regedit进入注册表 进入下图所示路径下: 新建 ProhibitIpSec 类型选择 32位DWORD 值设置为1 修改allowL2TPweakcryphto值改为 1,重启电脑即可 ...
windos 采用IPSec策略编程实现屏蔽IP功能
firesnow的博客
08-06 2106
屏蔽192.168.1.2的远程登录 '建立一个名字叫XBLUE的安全策略netsh ipsec static add policy name=XBLUE '建立一个ip筛选器,指定192.168.1.2 netsh ipsec static add filterlist name=denyip netsh ipsec static add filter filterlist=denyip
ip安全策略的运用
08-28 288
<br />    控制面板--管理工具里有个ip安全策略的设置<br />    IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现仔细精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。 <br />  如果你还原默认的话对你上网没有什么影响  但是 如果从安全角度考虑的话  因为windows
netshipsec(win2003)
weixin_34163741的博客
09-02 157
1、创建策略: netsh ipsec static add policy name="阻止访问" description="阻止用户访问指定的端口" 2、创建过滤器: netsh ipsec static addfilter filterlist="阻止访问1433端口" srcaddr=any srcport=0 dstaddr=me dstport=1433...
ipsec ip替换_ipsec IP安全策略操作 win7
weixin_39983563的博客
12-20 124
//禁止 win7 连接public static voidBannedWINRunCmd(){string str =Console.ReadLine();System.Diagnostics.Process p= newSystem.Diagnostics.Process();p.StartInfo.FileName= "cmd.exe";p.StartInfo.UseShellExecute...
华为防火墙通过公网IP与ubuntu20.04公网服务器 ipsec连接配置
04-04
该命令创建了一个名为vpn1的IPSec VPN,指定了IKE和IPSec策略,并将其绑定到Ubuntu 20.04公网服务器的公共IP地址。 2. 在Ubuntu 20.04公网服务器上配置IPSec VPN 接下来,在Ubuntu 20.04公网服务器上配置IPSec VPN...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值