windows xp的ipsec防火墙配置基础

win的ipsec安全策略大体结构为三级:policy,rule,filter。大致解释一下:

policy是一个策略,比如“研究生上级复试”,功能是仅允许本地到OJ的流量、本地到DHCP服务器的流量。整个的功能诉求就是一个policy。系统中可能存在很多policy,但同一时间只能指派一个。

一个policy由数个rule组成。“研究生上级复试”的policy,有ban和allow两条rule;allow所有本地与OJ和DHCP服务器的流量,ban掉其他所有流量。

一个rule又包含一些filter;一个filter指的是一个IP段,所有在此段中的IP,都会被该policy所在的rule处理。处理措施包括允许,禁止,加密,等等;filter本身不包含允许、禁止等策略,这一部分是由rule完成的。

以下介绍一下ipseccmd工具的大体使用,仅限防火墙方面,不涉及加密传送:

ipseccmd -f 0+59.64.130.18 0:68+*:67:UDP -w reg -p PG -r allow -n PASS -x
ipseccmd -f 0+* -w reg -p PG -r ban -n BLOCK -x
-f para: 指定filter,para是filter的描述

0:68+*:67:UDP:0代表本地ip,68代表本地端口,+代表创建镜像规则(双向流量),*代表所有ip,67代表目标端口,UDP代表协议;

-w reg: 代表创建静态规则,将其写入注册表:

-p PG 表示将这条rule加入名为PG的policy中

-r allow表示rule名字为allow

-n PASS 表示rule对进入filter的流量采取的动作是允许通过;BLOCK是阻止

-x 是立即指派;-y是取消指派

取消指派时,需要制定-p policyname和-w reg。

posted @ 2012-08-28 12:33  牛棚琐思  阅读(1446)  评论(0编辑  收藏  举报

牛棚锁思 | 改变习惯的一点点