Windows系统安全策略调研和有关测试
在命令行下,通过netsh ipsec static来配置IPSEC安全策略。一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行。
规则由筛选器列表和筛选器操作构成。而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略,建立筛选器列表,建立筛选器操作,这三步不需要特定的顺序,建立筛选器需要在空筛选器列表建立成以后。
允许某些网段(ip)地址访问server2(ip 192.168.56.107)的某些指定端口:
四台测试虚拟机:Server1 56.104 server2 56.107 server3 56.105 server4 56.106
例1:允许server1只能访问server2的8000端口(8000是IIS服务), 其它ip例如server3,server4禁止访问server2的8000端口。
具体安全策略设置操作如下:
第1步:在server2上创建策略,名字叫做107-policy。
C:UsersAdministrator>netsh ipsec static add policy name="107-policy" description="server2-ip107-policy"
第2步:创建筛选器操作(创建过滤动作)(permit和block:自定义)
C:UsersAdministrator>netsh ipsec static add filteraction name=Permit action=permit
C:UsersAdministrator>netsh ipsec static add filteraction name=Block action=block
第3步:创建筛选列表和筛选器
创建筛选列表:
C:UsersAdministrator>netsh ipsec static add filterlist name="blacklist" description="heimingdan"
C:UsersAdministrator>netsh ipsec static add filterlist name="whitelist" description="baimingdan"
创建筛选器(分别为过滤器创建规则):
C:UsersAdministrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=any dstaddr=me dstport=8000 protocol=tcp mirrored=yes description="jinzhi all ip access my 8000 port"
C:UsersAdministrator>netsh ipsec static add filter filterlist="blacklist" srcaddr=192.168.56.0 srcmask=255.255.255.0 srcport=0 dstaddr=me dstport=0 protocol=TCP desc="jinzhi 56wangduan access me" mirrored=yes
C:UsersAdministrator>netsh ipsec static add filter filterlist="whitelist" srcaddr=192.168.56.104 dstaddr=me dstport=8000 desc="56.104 8000 port access me" protocol=TCP mirrored=yes
第4步:创建策略规则(将(筛选)过滤器与过滤动作关联)
C:UsersAdministrator>netsh ipsec static add rule name="jinzhi-56net-access" policy="107-policy" filterlist="blacklist" filteraction="Block" desc="zuzhi 56net suoyouzhujitongxin"
C:UsersAdministrator>netsh ipsec static add rule name="yunxu-56net-access" policy="107-policy" filterlist="whitelist" filteraction="Permit" desc="yunxu bufen56net zhuji 8000port tongxin"
第5步:激活安全策略
C:UsersAdministrator>netsh ipsec static set policy name="107-policy" assign=y
第6步:查看测试结果