如何使用IPSec阻止特定网络协议和端口

1、如何使用ipsec阻止特定网络协议和端口internet协议安全（ipsec）筛选规则可用于帮助保护基于 windows 2000、windows xp和windows server 2003的计算机免遭病毒及蠕虫病毒等威胁带來的棊丁网络的攻击。u internet协议安全性（ipscc） ”是一种开放标准的框架结构，通过使用加密 的安全服务以确保在internet协议up）网络上进行保密而安全的通讯。实施 ipscc是基于"internet工程任务组（ietf） ” ipscc工作组开发的标准。本文介绍如何为入站和出站网络通信筛选特定的协议和端口纽合。木文还包括用丁-确定当前是否为

2、基 于 windows 2000、windows xp 或 windows server 2003 的计算机指泄了 ipsec 策略的 步骤、用于创建和指定新的ipsec策略的步骤以及用丁取消指定和删除ipsec策略的步骤。ipsec策略可以在木地应用，也可以作为域的组策略的一部分应用于该域的成员。本地ipsec策略 可以是静态的（重新启动后一直有效）或动态的（易失效）。静态ipsec策略被写入木地注册表并 在操作系统重新启动后一直有效。动态ipsec策略没有被永久性地写入注册表，并且在操作系统或 ipsec policy agent服务重新启动后被删除。重要说明：木文包含有关使用lpsecp

3、ol.exe编辑注册表的信息。编辑注册表z前，一定要知道在 发生问题吋如何还原注册衣。有关如何备份、还原和编辑注册表的信息，请单击下面的文章编号，以 查看microsoft知识库中相应的文章：256986 microsoft windows 注册表说明注意：i psec筛选规则会导致网络程序丢失数据和停止响应网络请求，包括无法对用户进行身份验 证。只有当您清楚地了解阻止特定端口对您的环境堤有的影响之后，才应将ipsec筛选规则作为一 种迫不得已的防护措施加以采用。如果您按照本文列出的步骤创建的ipsec策略对您的网络程序有 不利影响，请参阅本文稍后的“取消指定和删除ipsec策略”一节，了解有

4、关如何立即禁用和删除该 策略的说明。确定是否指定了 i psec策略基于 window s server 2003的计算机在为基于windows server 2003的计算机创建或扌旨定任何新的ipsec策略之前，请确定是 否有从木地注册农或通过组策略对象（gpo）应川的任何ipsec策略。为此，请按照下列步骤操作:1. 运行 windows server 2003 cd 上的 supporttools 文件夹中的 suptools.msi, 安装 netdiag.exe。2. 打开命令提示符窗口，然后将工作文件夹设置为c:program files'support tools。3.

5、 运行以下命令以验证尚未为该计算机指定现有ipsec策略：netdiag / test:ipsec如果没有指定策略，您将收到以下消息：ip安全测试。:传递的ipsec策略服务是活动的，但是没有指定策略。基于windows xp的计算机在为基于windows xp的计算机创建或指定任何新的ipsec策略z前，谙确定是否有从本地 注册表或通过gpo应用的任何i psec策略。为此，请按照下列步骤操作：1. 运行 windows xp cd 上的 supporttools 文件夹中的 setup.exe,安装 netdiag.exeo2. 打开命令提示符窗口，然后将工作文件夹设置为c:program

6、 filessupport toolso3. 运行以下命令以验证尚未为该计算机指定现有ipsec策略：netdiag / test:ipsec如果没有指定策略，您将收到以下消息：ip安全测试。:传递的ipsec策略服务是活动的，但是没有指泄策略。创建用于阻止通信的静态策略基于 windows server 2003 和 windows xp 的计算机对于没有启用本地定义的ipsec策略的系统，请创建一个新的本地静态策略，以阻止定向到 windows server 2003和windows xp计算机上的特定协议和特定端口的通信。为此，请按照 下列步骤操作：1. 验证ipsec policy a

7、gent服务己在“服务”mmc管理单元中启用并启动。2. 安装 ipseccmd.exe。ipseccmd.exe 是 windows xp service pack 2 (sp2)支 持工具的一部分。注意：ipseccmd.exe 将在 windows xp 和 windows server 2003 操作系统中 运行，但仅有windows xpsp2支持工具包中提供此工具。有关卜载和安装windows xp service pack 2支持工具的更多信息，请单击下面的 文章编号，以查看microsoft知识库中相应的文章：838079 windows xp service pack 2 支

8、持工具3. 打开命令提示符窗口，然后将工作文件夹设置为安装windows xp service pack 2支 持工具的文件夹。注意：windows xp sp2支持工具的默认文件夹是c:program filessupport toolso4. 要创建一个新的木地ipsec策略和筛选规则，并将其应用于从任何ip地址发送到您 要配置的windows server 2003或windows xp计算机的ip地址的网络通信, 请使用以下命令。注意：在以下命令中，protocol和portnumber是变星。i pseccm d.exe w reg p " block protocol p

9、ort nu m ber filter" r " blocki nbound protocol port num ber rule"f * = q: port num ber: protocol n block -x例如，要阳止从任何ip地址和任何源端口发往windows server 2003或 windows xp计算机上的h标端口 udp1434的网络通信，请键入以下命令。此策略 可以有效地保护运行microsoft sql server 2000的计算机免遭“slammer”蠕虫病 毒的攻击。i pseccm d.exe -w reg -p u block

10、 udp 1 434 filter" r " block in bound udp 1 434 rule"* = 0:1434:udp n block x以下示例可阻止对tcp端口 80的入站访问，但是仍然允许岀站tcp 80访问。此 策略可以有效地保护运行microsoft internet信息服务（iis） 5.0的计算机免遭 “code red”蠕虫病毒和“nimda”蠕虫病希的攻击。i pseccmd.exe -w reg -p hblock tcp 80 filter" -r "block i nbound tcp 80 rule&q

11、uot;f * = 0:80:tcp block -x注意：x开关会立即指定该策略。如果您输入此命令，将取消指定hblock udp 1434 filter"策略，并指定hblock tcp 80 filter"0要添加但不指定该策略,则在键入该命令 时不要在结尾带-x开关。5. 要向现有的“block udp 1434 filter”策略（阻止从基于 windows server 2003 或 windows xp的计算机发往任何ip地址的网络通信）添加其他筛选规则，请使用以下 命令。注意：在此命令屮，protocol和portnumber是变量:i pseccm d.e

12、xe w reg p " block protocol port nu m ber filter" r " block outbo und protocolportnumber rule"f * 0= : port num ber: protocol n block例如，要阻止从基于windows server 2003或windows xp的计算机发往任何其 他主机上的udp1434的任何网络通信，请键入以下命令。此策略可以有效地阻止运 行sql server 2000的计算机传播“slammer”蠕虫病毒。i pseccmd.exe w reg p

13、"block udp 1 434 filter"r "block outboundudp 1 434 rule" -f 0=* :1434:udp n block注意：您可以使用此命令向策略中添加任意数量的筛选规则。例如，可以使用此命令通 过同一策略阻止多个端口。6. 步骤5中的策略现在将生效，并将在每次重新启动计算机后都会生效。但是，如果以后 为计算机指定了基于域的ipsec策略，此木地策略将被覆盖并将不再适用。要验证您的筛选规则是否已成功指泄，请在命令提示符下将工作文件夹设置为c:program filessupport tools,然后键入以下命令

14、：netdiag / test:ipsec / debug正如这些示例中所示，如果同时指定了用于入站通信和出站通信的策略，您将收到以下 消息：ip安全测试。：传递的本地ipsec策略活动:,block udp 1434 filter”ip安全策略路径:software policies'microsoft、windows'i psec policy'local'ipsecpolicy d 239c599 f945 4 7a3-a4e3 b37bc1 2826b9有2个筛选无名称筛选 id: 5ec1fd53ea984c1 ba99f-6d2a0ff94592策略

15、 id: 509492ea-1214-4f50-bf43-9cac2b538518源地址:0.0.0.0源掩码:0.0.0.0目标地址:192.168.1.1 目标掩码:255.255.255.255隧道地址:0.0.0.0源端口：0目标端口:1434协议:17 tunnelfilter:无标志:入站阻止无名称筛选 id: 9b4144a6-774f-4ae5-b23a-51331e67bab2策略 id: 2deb01bd-9830-4067-b58a-aadfc8659be5源地址:192.168.1.1 源掩码:255.255.255.255目标地址:0.0.0.0目标掩码:0.0.0.

16、0隧道地址:0.0.0.0源端口:0 h标端口:1434协议:17 tunnelfilter:无标志:出站阻止注意：根据是基于windows server 2003还足基于windows xp的计算机，ip地 址和图形用户界面（guid）号会有所不同。为特定协议和端口添加阻止规则基于 window s server 2003 和 window s xp 的计算机如果基于windows server 2003和windows xp的计算机现有-个木地指定的柳态ipsec策略，那么，要为该计算机上的特定协议和端口添加阻止规则，请按照下列步骤操作：1. 女装 ipseccmd.exe。ipseccm

17、d.exe 是 windows xp sp2 支持工具的一部分。有关下载和安装windows xp service pack 2支持工具的更多信息，请单击下面的 文章编号,以查看microsoft知识库中相应的文章:838079 windows xp service pack 2 支持工具2. 识别当前指定的ipsec策略的名称。为此，请在命令提示符下键入以下命令：netdiag / test:ipsec如果己指定策略，您将收到类似于以下内容的消息：ip安全测试。：传递的本地 ipsec 策略活动:ublock udp 1434 filter03. 如果已为计算机指沱了 ipsec策略（本地或

18、域），请狡用以下命令将其他block筛 选规则添加到现有的ipsec策略屮。注意：在此命令屮，exist in g_ i psec_ policy_ nam e. protocol 和 portnumber 是 变量。i pseccm d.exe -p n existing_ i psec_ policy_ name'' w reg r "block protocolportnumber rule"f * = q:portnumber:protocol n block例如，要向现有,4block udp1434 filter"中添加一条筛选规则来阻

19、止对tcp端口 80 进行的入站访问，请键入以下命令：i pseccm d.exe -p n block udp 1 434 filter"w reg r " block i nbound tcp 80 rule"f * = 0:80:tcp n block为特定协议和端口添加动态阻止策略基于 windows server 2003 和 windows xp 的计算机有时您可能需要暂时阻止对特逹端口的访问。例如，在可以安装修补程序z前，或者在已经为计 算机指泄棊丁域的ipsec策略时，您就可能需耍阻止特定的端口。耍使用ipsec策略暂时阻止对 windows se

20、rver 2003或windows xp计算机上的某个端口的访问，请按照下列步骤操作:1. 安装 ipseccmd.exe。ipseccmd.exe 是 windows xp service pack 2 支持工具 的一部分。注意：ipseccmd.exe 将在 windows xp 和 windows server 2003 操作系统屮 运行，但仅有windows xp sp2支持工具包中提供此工具。有关如何下载和女装windows xp service pack 2支持工具的更多信息，请单击下 面的文章编号，以查看microsoft知识库中和应的文章：838079 windows xp s

21、ervice pack 2 支持工具2. 要添加一个动态block筛选以阻止从任何ip地址发往您系统的ip地址和日标端 口的所有数据包，请在命令提示符下键入以下命令。注意：在以卞命令屮，protocol和portnumber是变量。i pseccm d.exe -f * = 0: port num ber: protocol注意：此命令可动态创建阻止筛选。只要ipsec policy agent服务在运行，该策略就 会保持指定状态。如果重新启动ipsec policy agent服务或重新启动计算机，此策略 将丢失。如果要在每次重新启动系统时动态重新指定ipsec筛选规则，请创建一个启 动脚木

22、以重新应用该筛选规则。如果您要永久性地应用此筛选，请将该筛选配置为牌态 ipsec策略。“ipsec策略管理”mmc管理单元提供用于管理ipsec策略配置的图形 用户界面。如果已应用基于域的ipsec策略，netdiag / test:ipsec / debug命令 仅在由具有域管理员凭据的用户执行时才会显示筛选详细信息。i psec筛选规则和组策略在通过组策略设置分配ipsec策略的环境中，必须更新整个域的策略才能阻止特定的协议和端 no在成功配置组策略ipsec设置后，您必须强制刷新域中所有基于windows server 2003> windows xp和windows 2000的

23、计算机上的组策略设置。为此，请使用以下命令： secedit / refreshpolicy machine_policyipsec策略更改将在两个不同轮询间隔z的间隔内检测到。对于一个新指定的、应用于gpo的 ipsec策略，该ipsec策略将在为组策略轮询间隔设置的时间内应用于客户端，或者当在客户端计 算机上运行secedit / refreshpolicy m achine_policy命令时应用于客八端。如果已为gpo 指定了 ipsec策略并且正在将新的ipsec筛选或规则添加到现有策略中,secedit命令将不会使 ipsec识别发生更改。在这种情况下，系统将在基丁 gpo的现有i

24、psec策略口己的轮询间隔内 检测到对该ipsec策略的修改。此时间间隔是在该ipsec策略的“常规”选项卡上指定的。您还对 以通过重新爪动ipsec policy agent服务來强制刷新ipsec策略设置。如果ipsec服务停止或 重新启动，宙ipsec保护的通讯将中断并将需耍儿秒钟的时间才能恢复。这可能导致程序连接被断 开，对于主动传输大量数据的连接更是如此。当ipsec策略只应用于本地计算机时，您不必重新启 动该服务。取消指定和删除i psec策略基于 windows server 2003 和 windows xp 的计算机具有本地定义的静态策略的计算机1. 打开命令提示符窗口，然后

25、将工作文件夹设置为安装lpsecpol.exe的文件夹。2. 要取消指定您以前创建的筛选，请使用以下命令：i pseccm d.exe -w reg p " block protocol port num be r filter"-y例如，要取消指定以前创建的“block udp 1434 filter”，请使用以下命令：i pseccm d.exe -w reg p n block udp 1 434 filter"3. 要删除您创建的筛选，请使用以下命令：i pseccm d.exe w reg -p " block protocolportnumb

26、er filter"r "block protocolportnumber rule" -o例如，要删除hblock udp 1434 filter"筛选和以前创建的两个规则,请使用以 下命令：i pseccm d.exe -w reg p n block udp 1 434 filter"r " block inbound udp 1 434 rule" r " block outbo und udp 1 434 rule" o具有本地定义的动态策略的计算机如果通过使用net stop policyagent命令停止ipsec policy agent服务，将取 消应用动态ipsec策略。耍删除以前使用的特定命令而不停止ipsec policy agent 服务，请按照卜列步骤操作：1. 打开命令提示符窗口，然后将工作文件夹设置为安装windows xp servicepack 2支持工具的文件夹。2. 键入下面的命令：i pseccmd.exe -u注意：您还可以重新启动ipse