win的ipsec安全策略大体结构为三级:policy,rule,filter。大致解释一下:
policy是一个策略,比如“研究生上级复试”,功能是仅允许本地到OJ的流量、本地到DHCP服务器的流量。整个的功能诉求就是一个policy。系统中可能存在很多policy,但同一时间只能指派一个。
一个policy由数个rule组成。“研究生上级复试”的policy,有ban和allow两条rule;allow所有本地与OJ和DHCP服务器的流量,ban掉其他所有流量。
一个rule又包含一些filter;一个filter指的是一个IP段,所有在此段中的IP,都会被该policy所在的rule处理。处理措施包括允许,禁止,加密,等等;filter本身不包含允许、禁止等策略,这一部分是由rule完成的。
以下介绍一下ipseccmd工具的大体使用,仅限防火墙方面,不涉及加密传送:
ipseccmd -f 0+59.64.130.18 0:68+*:67:UDP -w reg -p PG -r allow -n PASS -x
ipseccmd -f 0+* -w reg -p PG -r ban -n BLOCK -x
-f para: 指定filter,para是filter的描述
0:68+*:67:UDP:0代表本地ip,68代表本地端口,+代表创建镜像规则(双向流量),*代表所有ip,67代表目标端口,UDP代表协议;
-w reg: 代表创建静态规则,将其写入注册表:
-p PG 表示将这条rule加入名为PG的policy中
-r allow表示rule名字为allow
-n PASS 表示rule对进入filter的流量采取的动作是允许通过;BLOCK是阻止
-x 是立即指派;-y是取消指派
取消指派时,需要制定-p policyname和-w reg。