1、如何使用ipsec阻止特定網絡協議和端口internet協議安全（ipsec）篩選規則可用于幫助保護基于 windows 2000、windows xp和windows server 2003的計算機免遭病毒及蠕蟲病毒等威脅帶來的棊丁網絡的攻擊。u internet協議安全性（ipscc） ”是一種開放標準的框架結構，通過使用加密 的安全服務以確保在internet協議up）網絡上進行保密而安全的通訊。實施 ipscc是基于"internet工程任務組（ietf） ” ipscc工作組開發的標準。本文介紹如何為入站和出站網絡通信篩選特定的協議和端口紐合。木文還包括用丁-確定當前是否為

2、基 于 windows 2000、windows xp 或 windows server 2003 的計算機指泄了 ipsec 策略的 步驟、用于創建和指定新的ipsec策略的步驟以及用丁取消指定和刪除ipsec策略的步驟。ipsec策略可以在木地應用，也可以作為域的組策略的一部分應用于該域的成員。本地ipsec策略 可以是靜態的（重新啟動后一直有效）或動態的（易失效）。靜態ipsec策略被寫入木地注冊表并 在操作系統重新啟動后一直有效。動態ipsec策略沒有被永久性地寫入注冊表，并且在操作系統或 ipsec policy agent服務重新啟動后被刪除。重要說明：木文包含有關使用lpsecp

3、ol.exe編輯注冊表的信息。編輯注冊表z前，一定要知道在 發生問題吋如何還原注冊衣。有關如何備份、還原和編輯注冊表的信息，請單擊下面的文章編號，以 查看microsoft知識庫中相應的文章：256986 microsoft windows 注冊表說明注意：i psec篩選規則會導致網絡程序丟失數據和停止響應網絡請求，包括無法對用戶進行身份驗 證。只有當您清楚地了解阻止特定端口對您的環境堤有的影響之后，才應將ipsec篩選規則作為一 種迫不得已的防護措施加以采用。如果您按照本文列出的步驟創建的ipsec策略對您的網絡程序有 不利影響，請參閱本文稍后的“取消指定和刪除ipsec策略”一節，了解有

4、關如何立即禁用和刪除該 策略的說明。確定是否指定了 i psec策略基于 window s server 2003的計算機在為基于windows server 2003的計算機創建或扌旨定任何新的ipsec策略之前，請確定是 否有從木地注冊農或通過組策略對象（gpo）應川的任何ipsec策略。為此，請按照下列步驟操作:1. 運行 windows server 2003 cd 上的 supporttools 文件夾中的 suptools.msi, 安裝 netdiag.exe。2. 打開命令提示符窗口，然后將工作文件夾設置為c:program files'support tools。3.

5、 運行以下命令以驗證尚未為該計算機指定現有ipsec策略：netdiag / test:ipsec如果沒有指定策略，您將收到以下消息：ip安全測試。:傳遞的ipsec策略服務是活動的，但是沒有指定策略。基于windows xp的計算機在為基于windows xp的計算機創建或指定任何新的ipsec策略z前，諳確定是否有從本地 注冊表或通過gpo應用的任何i psec策略。為此，請按照下列步驟操作：1. 運行 windows xp cd 上的 supporttools 文件夾中的 setup.exe,安裝 netdiag.exeo2. 打開命令提示符窗口，然后將工作文件夾設置為c:program

6、 filessupport toolso3. 運行以下命令以驗證尚未為該計算機指定現有ipsec策略：netdiag / test:ipsec如果沒有指定策略，您將收到以下消息：ip安全測試。:傳遞的ipsec策略服務是活動的，但是沒有指泄策略。創建用于阻止通信的靜態策略基于 windows server 2003 和 windows xp 的計算機對于沒有啟用本地定義的ipsec策略的系統，請創建一個新的本地靜態策略，以阻止定向到 windows server 2003和windows xp計算機上的特定協議和特定端口的通信。為此，請按照 下列步驟操作：1. 驗證ipsec policy a

7、gent服務己在“服務”mmc管理單元中啟用并啟動。2. 安裝 ipseccmd.exe。ipseccmd.exe 是 windows xp service pack 2 (sp2)支 持工具的一部分。注意：ipseccmd.exe 將在 windows xp 和 windows server 2003 操作系統中 運行，但僅有windows xpsp2支持工具包中提供此工具。有關卜載和安裝windows xp service pack 2支持工具的更多信息，請單擊下面的 文章編號，以查看microsoft知識庫中相應的文章：838079 windows xp service pack 2 支

8、持工具3. 打開命令提示符窗口，然后將工作文件夾設置為安裝windows xp service pack 2支 持工具的文件夾。注意：windows xp sp2支持工具的默認文件夾是c:program filessupport toolso4. 要創建一個新的木地ipsec策略和篩選規則，并將其應用于從任何ip地址發送到您 要配置的windows server 2003或windows xp計算機的ip地址的網絡通信, 請使用以下命令。注意：在以下命令中，protocol和portnumber是變星。i pseccm d.exe w reg p " block protocol p

9、ort nu m ber filter" r " blocki nbound protocol port num ber rule"f * = q: port num ber: protocol n block -x例如，要陽止從任何ip地址和任何源端口發往windows server 2003或 windows xp計算機上的h標端口 udp1434的網絡通信，請鍵入以下命令。此策略 可以有效地保護運行microsoft sql server 2000的計算機免遭“slammer”蠕蟲病 毒的攻擊。i pseccm d.exe -w reg -p u block

10、 udp 1 434 filter" r " block in bound udp 1 434 rule"* = 0:1434:udp n block x以下示例可阻止對tcp端口 80的入站訪問，但是仍然允許岀站tcp 80訪問。此 策略可以有效地保護運行microsoft internet信息服務（iis） 5.0的計算機免遭 “code red”蠕蟲病毒和“nimda”蠕蟲病希的攻擊。i pseccmd.exe -w reg -p hblock tcp 80 filter" -r "block i nbound tcp 80 rule&q

11、uot;f * = 0:80:tcp block -x注意：x開關會立即指定該策略。如果您輸入此命令，將取消指定hblock udp 1434 filter"策略，并指定hblock tcp 80 filter"0要添加但不指定該策略,則在鍵入該命令 時不要在結尾帶-x開關。5. 要向現有的“block udp 1434 filter”策略（阻止從基于 windows server 2003 或 windows xp的計算機發往任何ip地址的網絡通信）添加其他篩選規則，請使用以下 命令。注意：在此命令屮，protocol和portnumber是變量:i pseccm d.e

12、xe w reg p " block protocol port nu m ber filter" r " block outbo und protocolportnumber rule"f * 0= : port num ber: protocol n block例如，要阻止從基于windows server 2003或windows xp的計算機發往任何其 他主機上的udp1434的任何網絡通信，請鍵入以下命令。此策略可以有效地阻止運 行sql server 2000的計算機傳播“slammer”蠕蟲病毒。i pseccmd.exe w reg p

13、"block udp 1 434 filter"r "block outboundudp 1 434 rule" -f 0=* :1434:udp n block注意：您可以使用此命令向策略中添加任意數量的篩選規則。例如，可以使用此命令通 過同一策略阻止多個端口。6. 步驟5中的策略現在將生效，并將在每次重新啟動計算機后都會生效。但是，如果以后 為計算機指定了基于域的ipsec策略，此木地策略將被覆蓋并將不再適用。要驗證您的篩選規則是否已成功指泄，請在命令提示符下將工作文件夾設置為c:program filessupport tools,然后鍵入以下命令

14、：netdiag / test:ipsec / debug正如這些示例中所示，如果同時指定了用于入站通信和出站通信的策略，您將收到以下 消息：ip安全測試。：傳遞的本地ipsec策略活動:,block udp 1434 filter”ip安全策略路徑:software policies'microsoft、windows'i psec policy'local'ipsecpolicy d 239c599 f945 4 7a3-a4e3 b37bc1 2826b9有2個篩選無名稱篩選 id: 5ec1fd53ea984c1 ba99f-6d2a0ff94592策略

15、 id: 509492ea-1214-4f50-bf43-9cac2b538518源地址:0.0.0.0源掩碼:0.0.0.0目標地址:192.168.1.1 目標掩碼:255.255.255.255隧道地址:0.0.0.0源端口：0目標端口:1434協議:17 tunnelfilter:無標志:入站阻止無名稱篩選 id: 9b4144a6-774f-4ae5-b23a-51331e67bab2策略 id: 2deb01bd-9830-4067-b58a-aadfc8659be5源地址:192.168.1.1 源掩碼:255.255.255.255目標地址:0.0.0.0目標掩碼:0.0.0.

16、0隧道地址:0.0.0.0源端口:0 h標端口:1434協議:17 tunnelfilter:無標志:出站阻止注意：根據是基于windows server 2003還足基于windows xp的計算機，ip地 址和圖形用戶界面（guid）號會有所不同。為特定協議和端口添加阻止規則基于 window s server 2003 和 window s xp 的計算機如果基于windows server 2003和windows xp的計算機現有-個木地指定的柳態ipsec策略，那么，要為該計算機上的特定協議和端口添加阻止規則，請按照下列步驟操作：1. 女裝 ipseccmd.exe。ipseccm

17、d.exe 是 windows xp sp2 支持工具的一部分。有關下載和安裝windows xp service pack 2支持工具的更多信息，請單擊下面的 文章編號,以查看microsoft知識庫中相應的文章:838079 windows xp service pack 2 支持工具2. 識別當前指定的ipsec策略的名稱。為此，請在命令提示符下鍵入以下命令：netdiag / test:ipsec如果己指定策略，您將收到類似于以下內容的消息：ip安全測試。：傳遞的本地 ipsec 策略活動:ublock udp 1434 filter03. 如果已為計算機指沱了 ipsec策略（本地或

18、域），請狡用以下命令將其他block篩 選規則添加到現有的ipsec策略屮。注意：在此命令屮，exist in g_ i psec_ policy_ nam e. protocol 和 portnumber 是 變量。i pseccm d.exe -p n existing_ i psec_ policy_ name'' w reg r "block protocolportnumber rule"f * = q:portnumber:protocol n block例如，要向現有,4block udp1434 filter"中添加一條篩選規則來阻

19、止對tcp端口 80 進行的入站訪問，請鍵入以下命令：i pseccm d.exe -p n block udp 1 434 filter"w reg r " block i nbound tcp 80 rule"f * = 0:80:tcp n block為特定協議和端口添加動態阻止策略基于 windows server 2003 和 windows xp 的計算機有時您可能需要暫時阻止對特逹端口的訪問。例如，在可以安裝修補程序z前，或者在已經為計 算機指泄棊丁域的ipsec策略時，您就可能需耍阻止特定的端口。耍使用ipsec策略暫時阻止對 windows se

20、rver 2003或windows xp計算機上的某個端口的訪問，請按照下列步驟操作:1. 安裝 ipseccmd.exe。ipseccmd.exe 是 windows xp service pack 2 支持工具 的一部分。注意：ipseccmd.exe 將在 windows xp 和 windows server 2003 操作系統屮 運行，但僅有windows xp sp2支持工具包中提供此工具。有關如何下載和女裝windows xp service pack 2支持工具的更多信息，請單擊下 面的文章編號，以查看microsoft知識庫中和應的文章：838079 windows xp s

21、ervice pack 2 支持工具2. 要添加一個動態block篩選以阻止從任何ip地址發往您系統的ip地址和日標端 口的所有數據包，請在命令提示符下鍵入以下命令。注意：在以卞命令屮，protocol和portnumber是變量。i pseccm d.exe -f * = 0: port num ber: protocol注意：此命令可動態創建阻止篩選。只要ipsec policy agent服務在運行，該策略就 會保持指定狀態。如果重新啟動ipsec policy agent服務或重新啟動計算機，此策略 將丟失。如果要在每次重新啟動系統時動態重新指定ipsec篩選規則，請創建一個啟 動腳木

22、以重新應用該篩選規則。如果您要永久性地應用此篩選，請將該篩選配置為牌態 ipsec策略。“ipsec策略管理”mmc管理單元提供用于管理ipsec策略配置的圖形 用戶界面。如果已應用基于域的ipsec策略，netdiag / test:ipsec / debug命令 僅在由具有域管理員憑據的用戶執行時才會顯示篩選詳細信息。i psec篩選規則和組策略在通過組策略設置分配ipsec策略的環境中，必須更新整個域的策略才能阻止特定的協議和端 no在成功配置組策略ipsec設置后，您必須強制刷新域中所有基于windows server 2003> windows xp和windows 2000的

23、計算機上的組策略設置。為此，請使用以下命令： secedit / refreshpolicy machine_policyipsec策略更改將在兩個不同輪詢間隔z的間隔內檢測到。對于一個新指定的、應用于gpo的 ipsec策略，該ipsec策略將在為組策略輪詢間隔設置的時間內應用于客戶端，或者當在客戶端計 算機上運行secedit / refreshpolicy m achine_policy命令時應用于客八端。如果已為gpo 指定了 ipsec策略并且正在將新的ipsec篩選或規則添加到現有策略中,secedit命令將不會使 ipsec識別發生更改。在這種情況下，系統將在基丁 gpo的現有i

24、psec策略口己的輪詢間隔內 檢測到對該ipsec策略的修改。此時間間隔是在該ipsec策略的“常規”選項卡上指定的。您還對 以通過重新爪動ipsec policy agent服務來強制刷新ipsec策略設置。如果ipsec服務停止或 重新啟動，宙ipsec保護的通訊將中斷并將需耍兒秒鐘的時間才能恢復。這可能導致程序連接被斷 開，對于主動傳輸大量數據的連接更是如此。當ipsec策略只應用于本地計算機時，您不必重新啟 動該服務。取消指定和刪除i psec策略基于 windows server 2003 和 windows xp 的計算機具有本地定義的靜態策略的計算機1. 打開命令提示符窗口，然后

25、將工作文件夾設置為安裝lpsecpol.exe的文件夾。2. 要取消指定您以前創建的篩選，請使用以下命令：i pseccm d.exe -w reg p " block protocol port num be r filter"-y例如，要取消指定以前創建的“block udp 1434 filter”，請使用以下命令：i pseccm d.exe -w reg p n block udp 1 434 filter"3. 要刪除您創建的篩選，請使用以下命令：i pseccm d.exe w reg -p " block protocolportnumb

26、er filter"r "block protocolportnumber rule" -o例如，要刪除hblock udp 1434 filter"篩選和以前創建的兩個規則,請使用以 下命令：i pseccm d.exe -w reg p n block udp 1 434 filter"r " block inbound udp 1 434 rule" r " block outbo und udp 1 434 rule" o具有本地定義的動態策略的計算機如果通過使用net stop policyagent命令停止ipsec policy agent服務，將取 消應用動態ipsec策略。耍刪除以前使用的特定命令而不停止ipsec policy agent 服務，請按照卜列步驟操作：1. 打開命令提示符窗口，然后將工作文件夾設置為安裝windows xp servicepack 2支持工具的文件夾。2. 鍵入下面的命令：i pseccmd.exe -u注意：您還可以重新啟動ipse