1
使用脚本添加
IP
安全策略
ipsec
用
windows
的
IP
安全策略可以为我们机器起一个功能弱但是够用的防火墙,特别是在装机
过程中,
不需借助其他软件就很好地保护了系统。
我的装机过程一般是先拔网线,
安装系统,
然后起
IP
安全策略或者
iptables
,接着开始打补丁。
一般能用脚本的我都推荐使用脚本,脚本是可重用的,而且编辑脚本比用
gui
方便。本文将
给出在
win2k
和
win2k3
下的
2
个
IP
安全策略脚本模版,
命令可多次运行,
会自动替换为最
新的。模版里面的
^
类似
linux
下的
\
,用来告诉
cmd.exe
下面是和上面同一行。
由于
winxp sp2
已经内建了防火墙,所以
IP
安全策略用处不是太大,如果你想知道
winxp
下命令行添加安全策略的方法,可自行查资料。
win2k
下的
ip
安全策略添加需要用到
ipsecpol
这个程序,在
windows
的
resource kit
里有,
包括一个
exe
和
2
个
dll
。
我在这里不解释他的使用方法,
你可以
ipsecpol/? > ipsecpolhelp.txt
察看。这是我自己使用的脚本。
rem
首先限制所有
ipsecpol -w REG -p "Haishion" -r "Block All IP" -f *+0 -n BLOCK
rem
开放某些机器的无限制访问,比如你的工作用机
ipsecpol -w REG -p "Haishion" -r "Allow IP" -f ^
210.34.0.1+0 ^
210.34.0.2+0 ^
-n PASS
rem
开放服务器端口,比如
http 80
,
ftp 20
,
21
ipsecpol -w REG -p "Haishion" -r "Open Port" -f ^
*+0:20:TCP ^
*+0:21:TCP ^
*+0:80:TCP ^