您好,登錄后才能下訂單哦!
這篇文章主要介紹了批處理如何實現(xiàn)Ip安全策略腳本,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
"netsh"是Windows 2000/XP/2003操作系統(tǒng)自身提供的命令行腳本實用工具,它允許用戶在本地或遠程顯示或修改當前正在運行的計算機的網(wǎng)絡(luò)配置。
netsh ipsec,聽聞只有windows2003才能運行。在2003下測試的。
IP安全策略,我自身的理解就是:一個安全策略由一條條規(guī)則組成,而這些規(guī)則是由2部分組成的。首先要建立一個ip篩選器(用來指定那些地址)。然后呢是篩選器操作(用來指定對這些ip的操作,就是動作)一個安全策略編寫完成了,首先要激活,才能使用,那就是指派。
下面用實例來說明,然后附帶一些常用的。這個例子就是不允許ip為192.168.1.2的機器訪問我的3389端口。'后面是注析
'建立一個名字叫XBLUE的安全策略先
netsh ipsec static add policy name=XBLUE
'建立一個ip篩選器,指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TCP
'建立一個篩選器操作
netsh ipsec static ad
d filteraction name=denyact action=block
'加入規(guī)則到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact
'激活這個策略
netsh ipsec static set policy name=XBLUE assign=y
把安全策略導(dǎo)出
netsh ipsec static exportpolicy d:\ip.ipsec
刪除所有安全策略
netsh ipsec static del all
把安全策略導(dǎo)入
netsh ipsec static importpolicy d:\ip.ipsec
激活這個策略
netsh ipsec static set policy name=策略名稱 assign=y
入侵靈活運用
得到了61.90.227.136的sa權(quán)限。不過有策略限制,訪問不到他的3389。我想用他的3389。
netsh ipsec static add filterlist name=welcomexblue
netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=7892 protocol=TCP
netsh ipsec static add rule name=letxblue policy=ConnRest filterlist=welcomexblue filteraction=Permit
訪問結(jié)果
可以訪問了。
netsh ipsec static del rule name=letxblue policy=ConnRest
更改
netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=3389 protocol=TCP
刪除
netsh ipsec static del rule name=letxblue policy=ConnRest
netsh ipsec static del filterlist name=welcomexblue
以下是Win2K的
win2k下的ip安全策略添加需要用到ipsecpol這個程序,在windows的resource kit里有,包括一個exe和2個dll。我在這里不解釋他的使用方法,你可以ipsecpol* 〉 ipsecpolhelp.txt察看。這是我自己使用的腳本。
rem 首先限制所有
ipsecpol -w REG -p "Haishion" -r "Block All IP" -f *+0 -n BLOCK
rem 開放某些機器的無限制訪問,比如你的工作用機
ipsecpol -w REG -p "Haishion" -r "Allow IP" -f ^
210.34.0.1+0 ^
210.34.0.2+0 ^
-n PASS
rem 開放服務(wù)器端口,比如http 80,ftp 20,21
ipsecpol -w REG -p "Haishion" -r "Open Port" -f ^
*+0:20:TCP ^
*+0:21:TCP ^
*+0:80:TCP ^
-n PASS
rem 開放某些特定的ip可以訪問特定的端口
ipsecpol -w REG -p "Haishion" -r "Allow IP Port" -f ^
0+*:53:UDP ^
0+*:80:TCP ^
210.34.0.3+0:8080:TCP ^
-n PASS
rem 指派
ipsecpol -w REG -p "Haishion" -x
代碼如下:
REM =================開始================
netsh ipsec static ^
add policy name=bim
REM 添加2個動作,block和permit
netsh ipsec static ^
add filteraction name=Permit action=permit
netsh ipsec static ^
add filteraction name=Block action=block
REM 首先禁止所有訪問
netsh ipsec static ^
add filterlist name=AllAccess
netsh ipsec static ^
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any
netsh ipsec static ^
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block
REM 開放某些IP無限制訪問
netsh ipsec static ^
add filterlist name=UnLimitedIP
netsh ipsec static ^
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me
netsh ipsec static ^
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit
REM 開放某些端口
netsh ipsec static ^
add filterlist name=OpenSomePort
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP
netsh ipsec static ^
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit
REM 開放某些ip可以訪問某些端口
netsh ipsec static ^
add filterlist name=SomeIPSomePort
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP
netsh ipsec static ^
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP
netsh ipsec static ^
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit
感謝你能夠認真閱讀完這篇文章,希望小編分享的“批處理如何實現(xiàn)Ip安全策略腳本”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關(guān)注億速云行業(yè)資訊頻道,更多相關(guān)知識等著你來學(xué)習(xí)!
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。