zoukankan      html  css  js  c++  java

  • Windows系统安全策略

    Windows系统安全策略调研和有关测试

        在命令行下,通过netsh ipsec static来配置IPSEC安全策略。一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行。

       规则由筛选器列表和筛选器操作构成。而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略,建立筛选器列表,建立筛选器操作,这三步不需要特定的顺序,建立筛选器需要在空筛选器列表建立成以后。

    允许某些网段(ip)地址访问server2(ip 192.168.56.107)的某些指定端口:

    四台测试虚拟机:Server1  56.104    server2 56.107   server3 56.105   server4 56.106

            例1:允许server1只能访问server2的8000端口(8000是IIS服务), 其它ip例如server3,server4禁止访问server2的8000端口。

            具体安全策略设置操作如下:

            第1步:在server2上创建策略,名字叫做107-policy。

    C:UsersAdministrator>netsh ipsec static add policy name="107-policy" description="server2-ip107-policy"

           第2步:创建筛选器操作(创建过滤动作)(permit和block:自定义)

    C:UsersAdministrator>netsh ipsec static add filteraction name=Permit  action=permit

    C:UsersAdministrator>netsh ipsec static add filteraction name=Block   action=block 

            第3步:创建筛选列表和筛选器

    创建筛选列表:

    C:UsersAdministrator>netsh ipsec static add filterlist name="blacklist" description="heimingdan"

    C:UsersAdministrator>netsh ipsec static add filterlist name="whitelist" description="baimingdan"

    创建筛选器(分别为过滤器创建规则):

    C:UsersAdministrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=any  dstaddr=me  dstport=8000 protocol=tcp mirrored=yes description="jinzhi all ip access my 8000 port"

    C:UsersAdministrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=192.168.56.0 srcmask=255.255.255.0 srcport=0 dstaddr=me dstport=0 protocol=TCP desc="jinzhi 56wangduan access me" mirrored=yes

    C:UsersAdministrator>netsh ipsec static add filter filterlist="whitelist" srcaddr=192.168.56.104 dstaddr=me dstport=8000 desc="56.104 8000 port access me" protocol=TCP mirrored=yes 

            第4步:创建策略规则(将(筛选)过滤器与过滤动作关联)

    C:UsersAdministrator>netsh ipsec static add rule name="jinzhi-56net-access" policy="107-policy" filterlist="blacklist" filteraction="Block" desc="zuzhi 56net suoyouzhujitongxin"

    C:UsersAdministrator>netsh ipsec static add rule name="yunxu-56net-access" policy="107-policy" filterlist="whitelist" filteraction="Permit" desc="yunxu bufen56net zhuji 8000port tongxin" 

            第5步:激活安全策略

    C:UsersAdministrator>netsh ipsec static set policy name="107-policy" assign=y

            第6步:查看测试结果
  • 相关阅读:
    Eclipse的安装及汉化图解
    Intent常用使用汇总
    Android Notification (转)
    垃圾回收
    svn常见错误汇总
    位运算
    FusionCharts简单教程(一)---建立第一个FusionCharts图形
    Delphi发送邮件...
    协程库的一些笔记
    学习日记之单例模式和Effective C++
  • 原文地址:https://www.cnblogs.com/renyongbin/p/15048048.html
Copyright © 2011-2022 走看看