命令行下也玩IPsec

核心提示：在网络利用越来越广泛的今天，1个重要的题目就是有关计算机通讯的安全性题目。

在网络利用越来越广泛的今天，1个重要的题目就是有关计算机通讯的安全性题目。作为网络系统治理员，1项基本职责就是保证数据在网络传输中，不能被未经授权的人访问、查看或修改，在这中间，同时要保证数据能加密传输。怎样做到这1点呢？

Win2k网络中，我们可以通过IPSec来保护网络的安全。IPSec的全称是InternetProtocolSecurity，翻译成中文就是Internet协议安全。它的作用主要有两个：1个是保护IP数据包的内容，另外1点就是通过数据包挑选并实行受信任通讯来防御网络攻击。这对我们当有1些重要的数据在传输的进程中需要加以保护或避免监听来讲无疑是1个好消息。

由因而在IP层进行对数据的对称加密，封装的是全部的IP数据包，所以不需要为TCP/IP协议组中的每个协议设置单独的安全性，由于利用程序使用TCP/IP来将数据传递到IP协议层，并在这里进行保护。相应的IPSec配置相对复杂，但是对利用程序来讲是透明的，因此不要求利用程序必须支持。

Win2k操纵系统都支持IPSec，Win2k之前的版本，如Win98与WinNT不支持IPSec。在Win2k的网络中，不论是局域网、广域网，都可使用IPSec来保证网络的安全。我们之前见到的文章都是讨论在图形界面下配置IPSec的，由于步骤比较多，所以很轻易出错，并且效率不是怎样的高，那末我们是否是可以在命令行下配置IPSec呢？答案是肯定的，今天我们就来讲讲如何在命令行下配置IPSec。

1：基础知识

在开始文章前有必要先了解1些基础的知识，以便更好的浏览下面的文章。

1、IPSec的工作的进程：

两台计算机在通讯的时候，假设已设置好IPSec的策略，主机在通讯的时候会检查这个策略，策略在利用到主机的时候会有1个协商的进程，这个进程通过SecurityAssociation来实现。协商后根据Policy的配置，两台计算机之间建立1个加密的连接，数据进行加密传输。驱动程序将解密的数据包传输给TCP/IP的驱动程序，然后传输给接收真个利用程序。

2、IPSec的工作方式：

⑴传送模式：保护两个主机之间的通讯，是默许的IPSec模式。传送模式只支持Win2k操纵系统，提供P2P（点对点）的安全性。

⑵隧道模式：封装、发送和拆封进程称之为“隧道”。1般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec，保护两个路由器之间的通讯。主要用于广域网上，不提供各个网络内部的安全性。

3、IPSec的身份验证方法:

⑴KerberosV5：这个是默许的身份验证方法，假设是在1个域中的成员，又是KerberosV5协议的客户机，选择这1项。比如1个域中的Win2k的计算机。

⑵证书：需要共同配置信任的CA。

⑶预共享密钥：双方在设置策略的时候使用1段共同协商好的密钥。

以上3种方法都可以作为身份验证的方法，1般在平常工作当中，假设是域中的Win2k的计算机之间就采取Kerberos的认证方式。其他情况下1般可以采取第3种方式，双方协商1段密钥。

4、IPSec的加密模式：

⑴身份验证加密技术：包括SNA和MD5

⑵数据包加密技术：包括40-bitDES、56-bitDES

⑶3DES：最安全的加密方法，相应的也会消耗更多的系统资源。

其他的关于IPSec的1些知识大家可以借助搜索引擎来实现，这里就不再展开了。

2：微软的礼物

在命令行下配置IPSec，我们需要借助第3方的软件IPSecPol来实现（可以在光盘里找到），它是我们可爱的微软的免费提供的支持工具。

为甚么我们要用IPSecPol这个工具呢？假设我们需要有大量的IP安全策略需要配置的话，1般的图形界面模式即费时又费力，而使用IPSecPol以后，我们可以利用脚本来实现，并且结合批处理，只要用户输进几个参数便可以够在短短的时间内完成庞大的工作。更重要的是，它可以实时配置策略，喜欢命令行下工作的你是否是也开始对它感爱好了？

我们先来看看它的参数，以下所示：

ipsecpol[\\computername][-?][-fFilterList][-nNegotiationPolicyList][-tTunnelAddress][-aAuthMethodList][-u][-soft][{-dialup-lan}][⑴sSecurityMethodList][⑴kPhase1RekeyAfter][⑴p][-confirm][-wTYPE:DOMAIN][-pPolicyName:PollInterval][-rRuleName][-x][-y][-o]

下面我们对常常使用的几个参数进行解释：

-fFilterList：过滤列表，这个列表的格式应当是下面这样的：A.B.C.D/mask:port=A.B.C.D/mask:port:protocol，左侧的A.B.C.D代表的是源IP，右侧的是目标IP，mask代表子网掩码，port是端口，protocol是协议类型。我们举个例子，比如我的IP是166.111.30.30，我要把来自IP地址是166.111.40.40对我的Tcp端口7626要求的数据包过滤。那末这个过滤列表就应当是这样的：

166.111.40.40/255.255.252.0:7626=166.111.30.30/255.255.252.0:7626:tcp

固然这里我们还可使用通配符,用*代表任何IP地址,用0代表我自己的IP地址，我们还可使用+符号，比如0+*:139:TCP代表过滤自己主机和任何来源ip的tcp端口139数据包；*+0:139:TCP代表过滤任何来源IP对自己主机tcp129端口发送的数据包。

-wTYPE:DOMAIN：这个是策略写进的位置，可以是注册表，这样类型是REG；也能够存储在目录里，这样的类型是DS。我们1般选择是REG；

-pPolicyName:PollInterval：这个是策略的名称，比如“BlockRPCAttackVectors”；

-rRuleName：这个是规则的名称，比如“BlockOutboundTCP445Rule”；

-x：激活（指派）刚才配置的IP安全策略。

-y：不指派配置的IP安全策略。

-o：删除刚才设置的安全策略。

我们1般用的参数也就这样几个，其他的大家可以参看帮助文件。

3：具体实例

还是来讲实例吧，我们结合“冲击波”蠕虫来进行解说。“冲击波”利用的端口有Tcp135、4444端口，Udp69端口，另外它还会发送Icmp数据包。另外与RcpDcom有关的端口是Tcp135、445、139、593端口，Udp135、137、138、445端口。

假设我们要防范“冲击波”蠕虫，我们需要把来自外部对以上标明端口的连接过滤，为了不影响网络速度，还要制止Icmp包。假设我们感染了，还要避免自己主机向外部发送数据，因此我们来创建策略，策略名比如是：AntiBlaster，那末我们所要的命令以下：
　　

以下为援用的内容： 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockInboundTCP135Rule"-f*+0:135:TCP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockOutboundTCP135Rule"-f0+*:135:TCP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockInboundTCP4444Rule"-f*+0:4444:TCP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockOutboundTCP4444Rule"-f0+*:4444:TCP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockInboundUDP69TFTPRule"-f*+0:69:UDP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockOutboundUDP69TFTPRule"-f0+*:69:UDP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockInboundICMPRule"-f*+0:0:ICMP-nBLOCK 　　ipsecpol-wREG-p"AntiBlaster"-r"BlockOutboundICMPRule"-f0+*:0:ICMP-nBLOCK

　　
最后，我们还要激活这个安全策略，命令是：ipsecpol-wREG-p"AntiBlaster"–x

更保险点的是，制止对Rpc相干端口的连接，这样我们运行的命令以下：
　　

以下为援用的内容： 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundUDP135Rule"-f*+0:135:UDP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundTCP135Rule"-f*+0:135:TCP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundUDP137Rule"-f*+0:137:UDP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundUDP138Rule"-f*+0:138:UDP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundTCP139Rule"-f*+0:139:TCP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundTCP445Rule"-f*+0:445:TCP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundUDP445Rule"-f*+0:445:UDP-nBLOCK 　　ipsecpol-wREG-p"BlockRPCAttack"-r"BlockInboundTCP593Rule"-f*+0:593:TCP-nBLOCK

　　
然后再用命令ipsecpol-wREG-p"BlockRPCAttack"–x来激活安全策略。上面只过滤了传进的连接要求，假设是过滤传出的，那末只要把*和0互换，把Inbound改成Outbound便可以够了。

那假设“冲击波”过往了，我们不需要这样的安全策略的时候怎样办，固然你也能够在MMC（控制台）里删除掉，也能够用命令行来实现，比如我们要删除刚才避免冲击波的策略，具体命令是：

ipsecpol-wREG-p"AntiBlaster"–y//先用-y参数不指派这个策略

ipsecpol-wREG-p"AntiBlaster"–o//然后用-o参数删除

我们可以写1个批处理来实现这样的功能，这个批处理可以在光盘里找到，以后要设置策略时，只要把端口修改下便可以够了，即节省了时间，效率也大大进步了。

文章就先容到这里，假设大家有更好的方法或是经验，可以与我交换，文章的不足的地方也请大家指正。

唐山网站建设www.fw8.net

TAG:策略,网络,端口,冲击波,通讯

评论加载中... 内容： 评论者： 验证码：