鲁达 IPSEC是啥?
简单理解,它是一个类似网络防火墙的东西,可以通过设置策略来限制IP、端口、协议的访问
前提
IPsec Policy Agent 服务必须是运行的状态,设置的策略规则才会生效
方法
可以在组策略编辑器中,图形化的创建:
但这不是今天讲的重点,而且图形化操作缺少效率,本文略过。
命令创建
这里以禁止其它机子访问本机135、139、445端口为例
创建一个策略,名称为“安全策略”:
netsh ipsec static add policy name="安全策略"创建一个动作,名称为“阻止”:
netsh ipsec static add filteraction name="阻止" action=block创建一个筛选器,名称为“策略1”(一个策略可以有多个筛选器):
netsh ipsec static add filterlist name="策略1"往“策略1”这个筛选器中,添加135、139、445端口限制规则:
netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=135 srcaddr=any dstaddr=me netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=139 srcaddr=any dstaddr=me netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=445 srcaddr=any dstaddr=me将“策略1”这个筛选器,加入到“安全策略”中,动作为“阻止”:
netsh ipsec static add rule name="安全策略" policy="安全策略" filterlist="策略1" filteraction="阻止"指派策略,让“安全策略”生效:
netsh ipsec static set policy name="安全策略" assign=y这样就完成了:
删除策略
netsh ipsec static set policy name="安全策略" assign=n netsh ipsec static delete rule name="安全策略" policy="安全策略" netsh ipsec static delete filterlist name="策略1" netsh ipsec static delete policy name="安全策略" 关于这三个端口:
135端口,是Windows一些服务的远程管理端口,非常危险!到目前为止,我还没发现有什么应用场景是必须将它开放的!因此,建议一定要限制它的访问!
139、445端口,139是老系统的共享端口!多老?Win95、Win98!XP以后,共享端口换成了新的445端口,但是为了兼容Win98等老系统的访问,保留了139端口,到现在的Win11中,仍然保留着139端口!但是139端口现在已没有开放的必要,建议限制起来!
445是共享服务端口,因此,如果你需要开放共享给其它机器使用,那就不能限制它。如果不需要共享,那建议将它限制!
题外话
这三个端口都很危险,过去报出过许多严重的漏洞!
国内知名度很高的“熊猫烧香”,当初正是利用了它们的漏洞进行网络传播!
将它们限制起来,可以预防许多未知的风险!