快捷導(dǎo)航

Win2003設(shè)置IP安全策略批處理腳本

更新時間：2011年03月22日 21:39:03 作者：

Win2003設(shè)置IP安全策略批處理腳本，需要的朋友可以參考下。

REM =================開始================ 
netsh ipsec static ^ 
add policy name=bim 
REM 添加2個動作，block和permit 
netsh ipsec static ^ 
add filteraction name=Permit action=permit 
netsh ipsec static ^ 
add filteraction name=Block action=block 
REM 首先禁止所有訪問 
netsh ipsec static ^ 
add filterlist name=AllAccess 
netsh ipsec static ^ 
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any 
netsh ipsec static ^ 
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block 
REM 開放某些IP無限制訪問 
netsh ipsec static ^ 
add filterlist name=UnLimitedIP 
netsh ipsec static ^ 
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me 
netsh ipsec static ^ 
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit 
REM 開放某些端口 
netsh ipsec static ^ 
add filterlist name=OpenSomePort 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit 
REM 開放某些ip可以訪問某些端口 
netsh ipsec static ^ 
add filterlist name=SomeIPSomePort 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit 

"netsh"是Windows 2000/XP/2003操作系統(tǒng)自身提供的命令行腳本實(shí)用工具，它允許用戶在本地或遠(yuǎn)程顯示或修改當(dāng)前正在運(yùn)行的計(jì)算機(jī)的網(wǎng)絡(luò)配置。

netsh ipsec，聽聞只有windows2003才能運(yùn)行。在2003下測試的。
IP安全策略，我自身的理解就是：一個安全策略由一條條規(guī)則組成，而這些規(guī)則是由2部分組成的。首先要建立一個ip篩選器（用來指定那些地址）。然后呢是篩選器操作（用來指定對這些ip的操作，就是動作）一個安全策略編寫完成了，首先要激活，才能使用，那就是指派。

下面用實(shí)例來說明，然后附帶一些常用的。這個例子就是不允許ip為192.168.1.2的機(jī)器訪問我的3389端口。'后面是注析

'建立一個名字叫XBLUE的安全策略先
netsh ipsec static add policy name=XBLUE
'建立一個ip篩選器，指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TCP
'建立一個篩選器操作
netsh ipsec static add filteraction name=denyact action=block
'加入規(guī)則到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact
'激活這個策略
netsh ipsec static set policy name=XBLUE assign=y

把安全策略導(dǎo)出
netsh ipsec static exportpolicy d:\ip.ipsec
刪除所有安全策略
netsh ipsec static del all
把安全策略導(dǎo)入
netsh ipsec static importpolicy d:\ip.ipsec
激活這個策略
netsh ipsec static set policy name=策略名稱 assign=y
入侵靈活運(yùn)用
得到了61.90.227.136的sa權(quán)限。不過有策略限制，訪問不到他的3389。我想用他的3389。
netsh ipsec static add filterlist name=welcomexblue
netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=7892 protocol=TCP
netsh ipsec static add rule name=letxblue policy=ConnRest filterlist=welcomexblue filteraction=Permit
訪問結(jié)果
可以訪問了。
netsh ipsec static del rule name=letxblue policy=ConnRest
更改
netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=3389 protocol=TCP
刪除
netsh ipsec static del rule name=letxblue policy=ConnRest
netsh ipsec static del filterlist name=welcomexblue

您可能感興趣的文章: