• 周五. 9月 30th, 2022

5G编程聚合网

5G时代下一个聚合的编程学习网

热门标签

Windows系统安全策略

admin

11月 28, 2021

Windows系统安全策略调研和有关测试

    在命令行下,通过netsh ipsec static来配置IPSEC安全策略。一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行。

   规则由筛选器列表和筛选器操作构成。而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略,建立筛选器列表,建立筛选器操作,这三步不需要特定的顺序,建立筛选器需要在空筛选器列表建立成以后。

允许某些网段(ip)地址访问server2(ip 192.168.56.107)的某些指定端口:

四台测试虚拟机:Server1  56.104    server2 56.107   server3 56.105   server4 56.106

        例1:允许server1只能访问server2的8000端口(8000是IIS服务), 其它ip例如server3,server4禁止访问server2的8000端口。

        具体安全策略设置操作如下:

        第1步:在server2上创建策略,名字叫做107-policy。

C:UsersAdministrator>netsh ipsec static add policy name=”107-policy” description=”server2-ip107-policy”

       第2步:创建筛选器操作(创建过滤动作)(permit和block:自定义)

C:UsersAdministrator>netsh ipsec static add filteraction name=Permit  action=permit

C:UsersAdministrator>netsh ipsec static add filteraction name=Block   action=block 

        第3步:创建筛选列表和筛选器

创建筛选列表:

C:UsersAdministrator>netsh ipsec static add filterlist name=”blacklist” description=”heimingdan”

C:UsersAdministrator>netsh ipsec static add filterlist name=”whitelist” description=”baimingdan”

创建筛选器(分别为过滤器创建规则):

C:UsersAdministrator>netsh ipsec static add filter filterlist=”blacklist” srcaddr=any  dstaddr=me  dstport=8000 protocol=tcp mirrored=yes description=”jinzhi all ip access my 8000 port”

C:UsersAdministrator>netsh ipsec static add filter filterlist=”blacklist” srcaddr=192.168.56.0 srcmask=255.255.255.0 srcport=0 dstaddr=me dstport=0 protocol=TCP desc=”jinzhi 56wangduan access me” mirrored=yes

C:UsersAdministrator>netsh ipsec static add filter filterlist=”whitelist” srcaddr=192.168.56.104 dstaddr=me dstport=8000 desc=”56.104 8000 port access me” protocol=TCP mirrored=yes 

        第4步:创建策略规则(将(筛选)过滤器与过滤动作关联)

C:UsersAdministrator>netsh ipsec static add rule name=”jinzhi-56net-access” policy=”107-policy” filterlist=”blacklist” filteraction=”Block” desc=”zuzhi 56net suoyouzhujitongxin”

C:UsersAdministrator>netsh ipsec static add rule name=”yunxu-56net-access” policy=”107-policy” filterlist=”whitelist” filteraction=”Permit” desc=”yunxu bufen56net zhuji 8000port tongxin” 

        第5步:激活安全策略

C:UsersAdministrator>netsh ipsec static set policy name=”107-policy” assign=y

        第6步:查看测试结果

发表回复

您的电子邮箱地址不会被公开。