win2003服务器通过ipsec做防火墙的配置方法

windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制
在windows2003下是可以通过命令 netsh ipsec进行操作
命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule

1、删除所有安全策略
netsh ipsec static del all

2、建立策略test
netsh ipsec static add policy name=test

3、建立一个筛选器操作,可以理解为动作,匹配规则后执行的操作,类似Linux的iptables中的ACCEPT和DROP
建立拒绝操作
netsh ipsec static add filteraction name=block action=block
建立接受操作
netsh ipsec static add filteraction name=permit action=permit

4、添加筛选器列表,用于拒绝操作,类似iptables的默认规则
netsh ipsec static add filterlist name=deny_all
添加筛选器,拒绝所有的连接
netsh ipsec static add filter filterlist=deny_all srcaddr=Any dstaddr=Me

5、将创建的拒绝所有请求的筛选器和筛选器操作添加到策略test
netsh ipsec static add rule name=deny_all policy=test filterlist=deny_all filteraction=block

6、建立服务器本身对外访问的策略

建立筛选器列表server_access
netsh ipsec static add filterlist name=server_access

在筛选器列表server_access中添加一个筛选器,允许本机的任意端口到任意地址的,协议端口根据需要自己添加
netsh ipsec static add filter filterlist=server_access srcaddr=Me dstaddr=any protocol=tcp dstport=80

在策略test中应用筛选器server_access,并且对匹配筛选器的数据包执行允许操作
netsh ipsec static add rule name=server_access policy=test filterlist=server_access filteraction=permit

7、建立web服务器访问策略

建立筛选器列表web
netsh ipsec static add filterlist name=web

在筛选器列表web上添加筛选器,允许外部任意地址对本机的80端口的访问
netsh ipsec static add filter filterlist=web srcaddr=any dstaddr=Me dstport=80

在策略test中应用筛选器列表web
netsh ipsec static add rule name=web policy=test filterlist=web filteraction=permit

8、建立ftp服务器访问策略

netsh ipsec static add filterlist name=ftp
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=21

为ftp服务器添加被动端口,这里这添加三个作为测试
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65530
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65531
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65532
netsh ipsec static add rule name=ftp policy=test filterlist=ftp fileraction=permit

(0)

相关推荐

  • 使用了星外的Ipsec如何允许MySQL远程连接?

    参考: http://www.7i24.com/support/freehost/106081150563.htm 不过删除的是3306端口.

  • 使用了星外的Ipsec如何允许SQL 2000远程连接?

    如下图,在服务器上,管理工具,本地安全策略中, 删除1433的关闭策略 同时请注意安全处理: http://7i24.com/support/freehost/105131505443.htm

  • 安全工具netsh IPSec使用方法[ip安全策略]

    netsh ipsec 使用方法 在命令行下,通过netsh ipsec static来配置IPSEC安全策略.前提是IPSEC服务已经打开. 一个IPSEC由一个或者多个规则组成:一个规则有一个IP筛选器列表和一个相应的筛选器操作组成:这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行.规则由筛选器列表和筛选器操作构成.而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略

  • win2003服务器通过ipsec做防火墙的配置方法

    windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制 在windows2003下是可以通过命令 netsh ipsec进行操作 命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule 1.删除所有安全策略 netsh ipsec static del all 2.建立策略test netsh ipse

  • CentOS7服务器环境下vsftpd安装及配置方法

    本文实例讲述了CentOS7服务器环境下vsftpd安装及配置方法.分享给大家供大家参考,具体如下: 0x:卸载vsftpd [root@localhost ~]# yum remove vsftpd [root@localhost ~]# find / -name "vsftpd*" /etc/vsftpd /etc/vsftpd/vsftpd.conf.bak [root@localhost ~]# rm -fr /etc/vsftpd/ 1x:重新安装 [root@localho

  • CentOS服务器环境下MySQL主从同步配置方法

    本文实例讲述了CentOS服务器环境下MySQL主从同步配置方法.分享给大家供大家参考,具体如下: 一.环境 主机: master操作系统:centos 5.3 IP:192.168.1.222 MySQL版本:5.0.77 从机: slave操作系统:centos 5.3 IP:192.168.1.220 MySQL版本:5.0.77 二.创建数据库 分别登录master机和slave机的 mysql:mysql –u root –p 创建数据库: create database repl;

  • win2003+IIS下安装Xcache加速的配置方法分享

    在论坛后台看了半天,只有内存优化一个还没有做,但是自己以前又没有弄过,只有学了. 论坛支持Memcache.eAccelerator.Alternative PHP Cache(APC).Xcache 四种优化方式,在网上搜了很久,Memcache看的有点头晕,eAccelerator也有点莫名奇妙,最终选择Xcache. 经过一番摸索后把这个加速搞定了,手机进的时候都快了很多,效果看起来还是挺明显的,现在把配置方法写下来,以免以后重装系统或换服务器什么的又忘了怎么弄. Xcache下载地址:

  • win2003下 iis+php快速稳定的配置方法

    这里我们小编根据我们这么长时间的经验,特别分享下windows 2003系统下iis+php的配置方法,简单易用,而且还稳定. 第一步: 下载这个软件就可以了 星外PHP5.2.17自动配置安装包 快捷配置iis php运行环境,这个是星外发布的对于没有对iis配置过php环境的朋友使用,这个版本是安装在c盘的,使用液不会受到影响,默认开启了很多扩展,基本上是php 5.2.*系列中比较稳定的版本了. 根据我们几十台服务器的安全测试,绝对是没有问题的. 第二步:解压后直接安装就可以了,默认下就支

  • win2003服务器安全必做基础设置

    一 开启系统自带的防火墙 别忘了在例外里:勾上远程桌面,这是远程管理的端口,要不就远程连不上了,再添加80端口,这是iis默认端口,用户访问用的.再点确定. 二 iis设置,选中"网站"(是指就叫网站那个默认目录)点右键设置属性.设置这个地方的属性后,新建网站全会默认是这个属性. 首先去掉日志记录,日志记录没啥用处,记录日志,会浪费服务器资源,而且增加垃圾文件,增加到一定程度,还有可能让c盘没有空间,让系统出现问题. 再设置默认首页,根据你的实际情况设下.像我这边基本上都是asp的程序

  • Linux服务器中对于Memcache的安装配置方法

    下载:http://www.danga.com/memcached/dist/memcached-1.2.2.tar.gz 另外,memcache用到了libevent这个库用于socket的处理,所以还需要安装libevent,libevent的最新版本是libevent-1.3.(如果你的系统已经安装了libevent,可以不用安装) 官网:http://www.monkey.org/~provos/libevent/ 下载:http://www.monkey.org/~provos/lib

  • IIS7.5 UrlScan3.1应用防火墙安装配置方法

    URLScan是一个IIS下的ISAPI 筛选器,它能够限制服务器将要处理的HTTP请求的类型.通过阻止特定的 HTTP 请求,URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害,URLScan可用于IIS7.5.IIS7.IIS6. IIS7.5下需先安装IIS6元数据兼容性,官网下载:http://www.iis.net/download/urlscan URLScan配置文件:C:\Windows\System32\inetsrv\urlscan\UrlScan.ini 配置

  • Nginx服务器对数据传输速度限制的基本配置方法讲解

    注意: nginx 1.1.8 之后的版本的语法改为limit_conn_zone $binary_remote_addr zone=NAME:10m; NAME 就是 zone 的名字详情请看这里 http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html 限制连接数: 要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码: "zone=" 给它一个名字,可以随便叫,这个名字要跟下面的 limit_con

  • WIN2003服务器安全配置终极技巧第1/6页

    网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端bt的2003服务器的安全配置,让更多的网管朋友高枕无忧. 我们配置的服务器需要提供支持的组件如下:(ASP.ASPX.CGI.PHP.FSO.JMAIL.MySql.SMTP.POP3.FTP.3389终端服务.远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配

随机推荐