随笔 - 139  文章 - 1  评论 - 0  阅读 - 47214

Windows系统安全策略

Windows系统安全策略调研和有关测试

    在命令行下,通过netsh ipsec static来配置IPSEC安全策略。一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行。

   规则由筛选器列表和筛选器操作构成。而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略,建立筛选器列表,建立筛选器操作,这三步不需要特定的顺序,建立筛选器需要在空筛选器列表建立成以后。

允许某些网段(ip)地址访问server2(ip 192.168.56.107)的某些指定端口:

四台测试虚拟机:Server1  56.104    server2 56.107   server3 56.105   server4 56.106

        例1:允许server1只能访问server2的8000端口(8000是IIS服务), 其它ip例如server3,server4禁止访问server2的8000端口。

        具体安全策略设置操作如下:

        第1步:在server2上创建策略,名字叫做107-policy。

C:\Users\Administrator>netsh ipsec static add policy name="107-policy" description="server2-ip107-policy"

       第2步:创建筛选器操作(创建过滤动作)(permit和block:自定义)

C:\Users\Administrator>netsh ipsec static add filteraction name=Permit  action=permit

C:\Users\Administrator>netsh ipsec static add filteraction name=Block   action=block 

        第3步:创建筛选列表和筛选器

创建筛选列表:

C:\Users\Administrator>netsh ipsec static add filterlist name="blacklist" description="heimingdan"

C:\Users\Administrator>netsh ipsec static add filterlist name="whitelist" description="baimingdan"

创建筛选器(分别为过滤器创建规则):

C:\Users\Administrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=any  dstaddr=me  dstport=8000 protocol=tcp mirrored=yes description="jinzhi all ip access my 8000 port"

C:\Users\Administrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=192.168.56.0 srcmask=255.255.255.0 srcport=0 dstaddr=me dstport=0 protocol=TCP desc="jinzhi 56wangduan access me" mirrored=yes

C:\Users\Administrator>netsh ipsec static add filter filterlist="whitelist" srcaddr=192.168.56.104 dstaddr=me dstport=8000 desc="56.104 8000 port access me" protocol=TCP mirrored=yes 

        第4步:创建策略规则(将(筛选)过滤器与过滤动作关联)

C:\Users\Administrator>netsh ipsec static add rule name="jinzhi-56net-access" policy="107-policy" filterlist="blacklist" filteraction="Block" desc="zuzhi 56net suoyouzhujitongxin"

C:\Users\Administrator>netsh ipsec static add rule name="yunxu-56net-access" policy="107-policy" filterlist="whitelist" filteraction="Permit" desc="yunxu bufen56net zhuji 8000port tongxin" 

        第5步:激活安全策略

C:\Users\Administrator>netsh ipsec static set policy name="107-policy" assign=y

        第6步:查看测试结果

posted on   永远的大空翼  阅读(582)  评论(0编辑  收藏  举报
编辑推荐:
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· .NET Core 中如何实现缓存的预热?
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 如何调用 DeepSeek 的自然语言处理 API 接口并集成到在线客服系统
· 【译】Visual Studio 中新的强大生产力特性
< 2025年3月 >
23 24 25 26 27 28 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5

Powered by: 博客园 Copyright © 2025 永远的大空翼
Powered by .NET 9.0 on Kubernetes
点击右上角即可分享
微信分享提示
SQL AI 助手