Windows系统安全策略

Windows系统安全策略调研和有关测试

    在命令行下，通过netsh ipsec static来配置IPSEC安全策略。一个IPSEC由一个或者多个规则组成；一个规则有一个IP筛选器列表和一个相应的筛选器操作组成；这个筛选器列表和筛选器可以是系统本身所没有的，如果没有则需要自行建立，而一个筛选器又由一个或多个筛选器组成，因此配置IPSEC的时候必须分步进行。

   规则由筛选器列表和筛选器操作构成。而且存放在策略里，策略器由策略器列表来存储，这样就决定了一个步骤：建立空的安全策略，建立筛选器列表，建立筛选器操作，这三步不需要特定的顺序，建立筛选器需要在空筛选器列表建立成以后。

允许某些网段(ip)地址访问server2(ip 192.168.56.107)的某些指定端口:

四台测试虚拟机：Server1  56.104    server2 56.107   server3 56.105   server4 56.106

        例1：允许server1只能访问server2的8000端口（8000是IIS服务）, 其它ip例如server3,server4禁止访问server2的8000端口。

        具体安全策略设置操作如下：

        第1步：在server2上创建策略，名字叫做107-policy。

C:\Users\Administrator>netsh ipsec static add policy name="107-policy" description="server2-ip107-policy"

       第2步：创建筛选器操作(创建过滤动作)（permit和block：自定义）

C:\Users\Administrator>netsh ipsec static add filteraction name=Permit  action=permit

C:\Users\Administrator>netsh ipsec static add filteraction name=Block   action=block 

        第3步：创建筛选列表和筛选器

创建筛选列表：

C:\Users\Administrator>netsh ipsec static add filterlist name="blacklist" description="heimingdan"

C:\Users\Administrator>netsh ipsec static add filterlist name="whitelist" description="baimingdan"

创建筛选器（分别为过滤器创建规则）：

C:\Users\Administrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=any  dstaddr=me  dstport=8000 protocol=tcp mirrored=yes description="jinzhi all ip access my 8000 port"

C:\Users\Administrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=192.168.56.0 srcmask=255.255.255.0 srcport=0 dstaddr=me dstport=0 protocol=TCP desc="jinzhi 56wangduan access me" mirrored=yes

C:\Users\Administrator>netsh ipsec static add filter filterlist="whitelist" srcaddr=192.168.56.104 dstaddr=me dstport=8000 desc="56.104 8000 port access me" protocol=TCP mirrored=yes 

        第4步：创建策略规则（将（筛选）过滤器与过滤动作关联）

C:\Users\Administrator>netsh ipsec static add rule name="jinzhi-56net-access" policy="107-policy" filterlist="blacklist" filteraction="Block" desc="zuzhi 56net suoyouzhujitongxin"

C:\Users\Administrator>netsh ipsec static add rule name="yunxu-56net-access" policy="107-policy" filterlist="whitelist" filteraction="Permit" desc="yunxu bufen56net zhuji 8000port tongxin" 

        第5步：激活安全策略

C:\Users\Administrator>netsh ipsec static set policy name="107-policy" assign=y

        第6步：查看测试结果