win2003命令列下IP安全策略學習筆記

"netsh"是windows 2000/xp/2003作業系統自身提供的命令列指令碼實用工具，它允許使用者在本地或遠端顯示或修改當前正在執行的計算機的網路配置。

netsh ipsec，聽聞只有windows2003才能執行。我都是在2003下測試的。其他系統就不知道了。我們要學習的就是他了。

ip安全策略，我自身的理解就是：乙個安全策略由一條條規則組成，而這些規則是由2部分組成的。首先要建立乙個ip篩選器（用來指定那些位址）。然後呢是篩選器操作（用來指定對這些ip的操作，就是動作）乙個安全策略編寫完成了，首先要啟用，才能使用，那就是指派。

下面用例項來說明，然後附帶一些常用的。這個例子就是不允許ip為192.168.1.2的機器訪問我的3389埠。'後面是注析

'建立乙個名字叫xblue的安全策略先

netsh ipsec static add policy name=xblue

'建立乙個ip篩選器，指定192.168.1.2

netsh ipsec static add filterlist name=denyip

netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=me dstport=3389 protocol=tcp

'建立乙個篩選器操作

netsh ipsec static add filteraction name=denyact action=block

'加入規則到安全策略xblue

netsh ipsec static add rule name=kill3389 policy=xblue filterlist=denyip filteraction=denyact

'啟用這個策略

netsh ipsec static set policy name=xblue assign=y

寫到這裡，好鬱悶。別人說我的是老掉牙的東西。再寫一些就完結

一些例子，如果各位想認識更多，請看netsh ipsec ?

把安全策略匯出

netsh ipsec static exportpolicy d:/ip.ipsec

刪除所有安全策略

netsh ipsec static del all

把安全策略匯入

netsh ipsec static importpolicy d:/ip.ipsec

啟用這個策略

netsh ipsec static set policy name=策略名稱 assign=y

入侵靈活運用

我得到了61.90.227.136的sa許可權。不過有策略限制，訪問不到他的3389。我想用他的3389。於是這樣，我的ip是220.207.31.249。

netsh ipsec static add filterlist name=welcomexblue

netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=me dstport=7892 protocol=tcp

netsh ipsec static add rule name=letxblue policy=connrest filterlist=welcomexblue filteraction=permit

訪問結果

可以訪問了。

netsh ipsec static del rule name=letxblue policy=connrest

更改netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=me dstport=3389 protocol=tcp

刪除netsh ipsec static del rule name=letxblue policy=connrest

netsh ipsec static del filterlist name=welcomexblue