日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

網(wǎng)絡(luò)安全之CMD下的網(wǎng)絡(luò)安全配置( 二 )

云知道


-n BLOCK 指定篩選操作是"阻塞" 。注意,BLOCK必須是大寫 。
-w reg 將配置寫入注冊表,重啟后仍有效 。
-x 立刻激活該策略 。

【網(wǎng)絡(luò)安全之CMD下的網(wǎng)絡(luò)安全配置】2、防止被Ping

ipsecpol -p myfirewall -r antiping -f * 0::icmp -n BLOCK -w reg -x

如果名為myfirewall的策略已存在,則antiping規(guī)則將添加至其中 。
注意,該規(guī)則同時也阻止了該主機(jī)ping別人 。
3、對后門進(jìn)行IP限制
假設(shè)你在某主機(jī)上安裝了DameWare Mini Remote Control 。為了保護(hù)它不被別人暴破密碼或溢出,應(yīng)該限制對其服務(wù)端口6129的訪問 。

ipsecpol -p myfw -r dwmrc_block_all -f * 0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89 0:6129:tcp -n PASS -w reg -x

這樣就只有123.45.67.89可以訪問該主機(jī)的6129端口了 。
如果你是動態(tài)IP,應(yīng)該根據(jù)IP分配的范圍設(shè)置規(guī)則 。比如:

ipsecpol -p myfw -r dwmrc_block_all -f * 0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.* 0:6129:tcp -n PASS -w reg -x

這樣就允許123.45.67.1至123.45.67.254的IP訪問6129端口 。
在寫規(guī)則的時候,應(yīng)該特別小心,不要把自己也阻塞了 。如果你不確定某個規(guī)則的效果是否和預(yù)想的一樣,可以先用計(jì)劃任務(wù)"留下后路" 。例如:

c:>net start schedule
Task Scheduler 服務(wù)正在啟動 ..
Task Scheduler 服務(wù)已經(jīng)啟動成功 。
c:>time /t
12:34
c:>at 12:39 ipsecpol -p myfw -y -w reg

新加了一項(xiàng)作業(yè),其作業(yè) ID = 1 。
然后,你有5分鐘時間設(shè)置一個myfw策略并測試它 。5分鐘后計(jì)劃任務(wù)將停止該策略 。
如果測試結(jié)果不理想,就刪除該策略 。

c:>ipsecpol -p myfw -o -w reg

注意,刪除策略前必須先確保它已停止 。不停止它的話,即使刪除也會在一段時間內(nèi)繼續(xù)生效 。持續(xù)時間取決于策略的刷新時間,默認(rèn)是180分鐘 。
如果測試通過,那么就啟用它 。

c:>ipsecpol -p myfw -x -w reg

最后說一下查看IPSec策略的辦法 。
對于XP很簡單,一條命令搞定--ipseccmd show filters
而ipsecpol沒有查詢的功能 。需要再用一個命令行工具netdiag 。它位于2000系統(tǒng)安裝盤的SUPPORTTOOLSSUPPORT.CAB中 。(已經(jīng)上傳了三個文件,也就不在乎多一個了 。)
Netdiag需要RemoteRegistry服務(wù)的支持 。所以先啟動該服務(wù):
Net start remoteregistry
不啟動RemoteRegistry就會得到一個錯誤:

[FATAL] Failed to get system information of this machine.

netdiag這個工具功能十分強(qiáng)大,與網(wǎng)絡(luò)有關(guān)的信息都可以獲??!不過,輸出的信息有時過于詳細(xì),超過命令行控制臺cmd.exe的輸出緩存,而不是每個遠(yuǎn)程cmd shell都可以用more命令來分頁的 。
查看Ipsec策略的命令是:

netdiag /debug /test:ipsec

然后是一長串輸出信息 。IPSec策略位于最后 。
軟件安裝
一個軟件/工具的安裝過程,一般來說只是做兩件事:拷貝文件到特定目錄和修改注冊表 。只要搞清楚具體的內(nèi)容,那么就可以自己在命令行下實(shí)現(xiàn)了 。(不考慮安裝后需要注冊激活等情況)
WinPcap是個很常用的工具,但必須在窗口界面下安裝 。在網(wǎng)上也可以找到不用GUI的版本(但還是有版權(quán)頁),其實(shí)我們完全可以自己做一個 。
以WinPcap 3.0a 為例 。通過比較安裝前后的文件系統(tǒng)和注冊表快照,很容易了解整個安裝過程 。
除去反安裝的部分,關(guān)鍵的文件有三個:wpcap.dll,packet.dll和npf.sys 。前面兩個文件位于system32目錄下,第三個在system32drivers下 。而注冊表的變化是增加了一個系統(tǒng)服務(wù)NPF 。注意,是系統(tǒng)服務(wù)(即驅(qū)動)不是Win32服務(wù) 。

推薦閱讀