如何使用 IPSec 阻止特定網(wǎng)絡(luò)協(xié)議和端口.doc

如何使用 IPSec 阻止特定網(wǎng)絡(luò)協(xié)議和端口Internet 協(xié)議安全 (IPSec) 篩選規(guī)則可用于幫助保護基于 Windows 2000、Windows XP 和 Windows Server 2003 的計算機免遭病毒及蠕蟲病毒等威脅帶來的基于網(wǎng)絡(luò)的攻擊?！癐nternet 協(xié)議安全性 (IPSec)”是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊。實施 IPSec 是基于“Internet 工程任務(wù)組 (IETF)”IPSec 工作組開發(fā)的標準。本文介紹如何為入站和出站網(wǎng)絡(luò)通信篩選特定的協(xié)議和端口組合。本文還包括用于確定當前是否為基于 Windows 2000、Windows XP 或 Windows Server 2003 的計算機指定了 IPSec 策略的步驟、用于創(chuàng)建和指定新的 IPSec 策略的步驟以及用于取消指定和刪除 IPSec 策略的步驟。IPSec 策略可以在本地應(yīng)用，也可以作為域的組策略的一部分應(yīng)用于該域的成員。本地 IPSec 策略可以是靜態(tài)的（重新啟動后一直有效）或動態(tài)的（易失效）。靜態(tài) IPSec 策略被寫入本地注冊表并在操作系統(tǒng)重新啟動后一直有效。動態(tài) IPSec 策略沒有被永久性地寫入注冊表，并且在操作系統(tǒng)或 IPSec Policy Agent 服務(wù)重新啟動后被刪除。重要說明：本文包含有關(guān)使用 Ipsecpol.exe 編輯注冊表的信息。編輯注冊表之前，一定要知道在發(fā)生問題時如何還原注冊表。有關(guān)如何備份、還原和編輯注冊表的信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 256986 (/kb/256986/ ) Microsoft Windows 注冊表說明 注意：IPSec 篩選規(guī)則會導(dǎo)致網(wǎng)絡(luò)程序丟失數(shù)據(jù)和停止響應(yīng)網(wǎng)絡(luò)請求，包括無法對用戶進行身份驗證。只有當您清楚地了解阻止特定端口對您的環(huán)境具有的影響之后，才應(yīng)將 IPSec 篩選規(guī)則作為一種迫不得已的防護措施加以采用。如果您按照本文列出的步驟創(chuàng)建的 IPSec 策略對您的網(wǎng)絡(luò)程序有不利影響，請參閱本文稍后的“取消指定和刪除 IPSec 策略”一節(jié)，了解有關(guān)如何立即禁用和刪除該策略的說明。確定是否指定了 IPSec 策略基于 Windows Server 2003 的計算機在為基于 Windows Server 2003 的計算機創(chuàng)建或指定任何新的 IPSec 策略之前，請確定是否有從本地注冊表或通過組策略對象 (GPO) 應(yīng)用的任何 IPSec 策略。為此，請按照下列步驟操作： 1. 運行 Windows Server 2003 CD 上的 SupportTools 文件夾中的 Suptools.msi，安裝 Netdiag.exe。 2. 打開命令提示符窗口，然后將工作文件夾設(shè)置為 C:Program FilesSupport Tools。 3. 運行以下命令以驗證尚未為該計算機指定現(xiàn)有 IPSec 策略： netdiag /test:ipsec如果沒有指定策略，您將收到以下消息： IP 安全測試。. . . . . . . . : 傳遞的 IPSec 策略服務(wù)是活動的，但是沒有指定策略。 基于 Windows XP 的計算機在為基于 Windows XP 的計算機創(chuàng)建或指定任何新的 IPSec 策略之前，請確定是否有從本地注冊表或通過 GPO 應(yīng)用的任何 IPSec 策略。為此，請按照下列步驟操作： 1. 運行 Windows XP CD 上的 SupportTools 文件夾中的 Setup.exe，安裝 Netdiag.exe。 2. 打開命令提示符窗口，然后將工作文件夾設(shè)置為 C:Program FilesSupport Tools。 3. 運行以下命令以驗證尚未為該計算機指定現(xiàn)有 IPSec 策略： netdiag /test:ipsec如果沒有指定策略，您將收到以下消息： IP 安全測試。. . . . . . . . : 傳遞的 IPSec 策略服務(wù)是活動的，但是沒有指定策略。 創(chuàng)建用于阻止通信的靜態(tài)策略基于 Windows Server 2003 和 Windows XP 的計算機對于沒有啟用本地定義的 IPSec 策略的系統(tǒng)，請創(chuàng)建一個新的本地靜態(tài)策略，以阻止定向到 Windows Server 2003 和 Windows XP 計算機上的特定協(xié)議和特定端口的通信。為此，請按照下列步驟操作： 1. 驗證 IPSec Policy Agent 服務(wù)已在“服務(wù)”MMC 管理單元中啟用并啟動。 2. 安裝 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。注意：IPSeccmd.exe 將在 Windows XP 和 Windows Server 2003 操作系統(tǒng)中運行，但僅有 Windows XP SP2 支持工具包中提供此工具。有關(guān)下載和安裝 Windows XP Service Pack 2 支持工具的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 838079 (/kb/838079/ ) Windows XP Service Pack 2 支持工具 3. 打開命令提示符窗口，然后將工作文件夾設(shè)置為安裝 Windows XP Service Pack 2 支持工具的文件夾。注意：Windows XP SP2 支持工具的默認文件夾是 C:Program FilesSupport Tools。 4. 要創(chuàng)建一個新的本地 IPSec 策略和篩選規(guī)則，并將其應(yīng)用于從任何 IP 地址發(fā)送到您要配置的 Windows Server 2003 或 Windows XP 計算機的 IP 地址的網(wǎng)絡(luò)通信，請使用以下命令。注意：在以下命令中，Protocol 和 PortNumber 是變量。 IPSeccmd.exe -w REG -p Block ProtocolPortNumber Filter -r Block Inbound ProtocolPortNumber Rule -f *=0:PortNumber:Protocol -n BLOCK x例如，要阻止從任何 IP 地址和任何源端口發(fā)往 Windows Server 2003 或 Windows XP 計算機上的目標端口 UDP 1434 的網(wǎng)絡(luò)通信，請鍵入以下命令。此策略可以有效地保護運行 Microsoft SQL Server 2000 的計算機免遭“Slammer”蠕蟲病毒的攻擊。 IPSeccmd.exe -w REG -p Block UDP 1434 Filter -r Block Inbound UDP 1434 Rule -f *=0:1434:UDP -n BLOCK -x以下示例可阻止對 TCP 端口 80 的入站訪問，但是仍然允許出站 TCP 80 訪問。此策略可以有效地保護運行 Microsoft Internet 信息服務(wù) (IIS) 5.0 的計算機免遭“Code Red”蠕蟲病毒和“Nimda”蠕蟲病毒的攻擊。 IPSeccmd.exe -w REG -p Block TCP 80 Filter -r Block Inbound TCP 80 Rule -f *=0:80:TCP -n BLOCK -x注意：-x 開關(guān)會立即指定該策略。如果您輸入此命令，將取消指定“Block UDP 1434 Filter”策略，并指定“Block TCP 80 Filter”。要添加但不指定該策略，則在鍵入該命令時不要在結(jié)尾帶 -x 開關(guān)。 5. 要向現(xiàn)有的“Block UDP 1434 Filter”策略（阻止從基于 Windows Server 2003 或 Windows XP 的計算機發(fā)往任何 IP 地址的網(wǎng)絡(luò)通信）添加其他篩選規(guī)則，請使用以下命令。注意：在此命令中，Protocol 和 PortNumber 是變量： IPSeccmd.exe -w REG -p Block ProtocolPortNumber Filter -r Block Outbound ProtocolPortNumber Rule -f *0=:PortNumber:Protocol -n BLOCK例如，要阻止從基于 Windows Server 2003 或 Windows XP 的計算機發(fā)往任何其他主機上的 UDP 1434 的任何網(wǎng)絡(luò)通信，請鍵入以下命令。此策略可以有效地阻止運行 SQL Server 2000 的計算機傳播“Slammer”蠕蟲病毒。 IPSeccmd.exe -w REG -p Block UDP 1434 Filter -r Block Outbound UDP 1434 Rule -f 0=*:1434:UDP -n BLOCK注意：您可以使用此命令向策略中添加任意數(shù)量的篩選規(guī)則。例如，可以使用此命令通過同一策略阻止多個端口。 6. 步驟 5 中的策略現(xiàn)在將生效，并將在每次重新啟動計算機后都會生效。但是，如果以后為計算機指定了基于域的 IPSec 策略，此本地策略將被覆蓋并將不再適用。要驗證您的篩選規(guī)則是否已成功指定，請在命令提示符下將工作文件夾設(shè)置為 C:Program FilesSupport Tools，然后鍵入以下命令： netdiag /test:ipsec /debug正如這些示例中所示，如果同時指定了用于入站通信和出站通信的策略，您將收到以下消息： IP 安全測試。. . . . . . . . : 傳遞的本地 IPSec 策略活動:“Block UDP 1434 Filter”IP 安全策略路徑:SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicyD239C599-F945-47A3-A4E3-B37BC12826B9 有 2 個篩選無名稱篩選 ID:5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592策略 ID:509492EA-1214-4F50-BF43-9CAC2B538518源地址: 源掩碼: 目標地址: 目標掩碼:55 隧道地址: 源端口:0 目標端口:1434 協(xié)議:17 TunnelFilter:無標志:入站阻止無名稱篩選 ID:9B4144A6-774F-4AE5-B23A-51331E67BAB2策略 ID:2DEB01BD-9830-4067-B58A-AADFC8659BE5源地址: 源掩碼:55 目標地址: 目標掩碼: 隧道地址: 源端口:0 目標端口:1434 協(xié)議:17 TunnelFilter:無 標志:出站阻止注意：根據(jù)是基于 Windows Server 2003 還是基于 Windows XP 的計算機，IP 地址和圖形用戶界面 (GUID) 號會有所不同。 為特定協(xié)議和端口添加阻止規(guī)則基于 Windows Server 2003 和 Windows XP 的計算機如果基于 Windows Server 2003 和 Windows XP 的計算機現(xiàn)有一個本地指定的靜態(tài) IPSec 策略，那么，要為該計算機上的特定協(xié)議和端口添加阻止規(guī)則，請按照下列步驟操作： 1. 安裝 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP SP2 支持工具的一部分。有關(guān)下載和安裝 Windows XP Service Pack 2 支持工具的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 838079 (/kb/838079/ ) Windows XP Service Pack 2 支持工具 2. 識別當前指定的 IPSec 策略的名稱。為此，請在命令提示符下鍵入以下命令： netdiag /test:ipsec如果已指定策略，您將收到類似于以下內(nèi)容的消息： IP 安全測試。. . . . . . . . : 傳遞的本地 IPSec 策略活動:“Block UDP 1434 Filter”3. 如果已為計算機指定了 IPSec 策略（本地或域），請使用以下命令將其他 BLOCK 篩選規(guī)則添加到現(xiàn)有的 IPSec 策略中。注意：在此命令中，Existing_IPSec_Policy_Name、Protocol 和 PortNumber 是變量。 IPSeccmd.exe -p Existing_IPSec_Policy_Name -w REG -r Block ProtocolPortNumber Rule -f *=0:PortNumber:Protocol -n BLOCK 例如，要向現(xiàn)有“Block UDP 1434 Filter”中添加一條篩選規(guī)則來阻止對 TCP 端口 80 進行的入站訪問，請鍵入以下命令： IPSeccmd.exe -p Block UDP 1434 Filter -w REG -r Block Inbound TCP 80 Rule -f *=0:80:TCP -n BLOCK為特定協(xié)議和端口添加動態(tài)阻止策略基于 Windows Server 2003 和 Windows XP 的計算機有時您可能需要暫時阻止對特定端口的訪問。例如，在可以安裝修補程序之前，或者在已經(jīng)為計算機指定基于域的 IPSec 策略時，您就可能需要阻止特定的端口。要使用 IPSec 策略暫時阻止對 Windows Server 2003 或 Windows XP 計算機上的某個端口的訪問，請按照下列步驟操作： 1. 安裝 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 支持工具的一部分。注意：IPSeccmd.exe 將在 Windows XP 和 Windows Server 2003 操作系統(tǒng)中運行，但僅有 Windows XP SP2 支持工具包中提供此工具。有關(guān)如何下載和安裝 Windows XP Service Pack 2 支持工具的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應(yīng)的文章： 838079 (/kb/838079/ ) Windows XP Service Pack 2 支持工具 2. 要添加一個動態(tài) BLOCK 篩選以阻止從任何 IP 地址發(fā)往您系統(tǒng)的 IP 地址和目標端口的所有數(shù)據(jù)包，請在命令提示符下鍵入以下命令。注意：在以下命令中，Protocol 和 PortNumber 是變量。 IPSeccmd.exe -f *=0:PortNumber:Protocol注意：此命令可動態(tài)創(chuàng)建阻止篩選。只要 IPSec Policy Agent 服務(wù)在運行，該策略就會保持指定狀態(tài)。如果重新啟動 IPSec Policy Agent 服務(wù)或重新啟動計算機，此策略將丟失。如果要在每次重新啟動系統(tǒng)時動態(tài)重新指定 IPSec 篩選規(guī)則，請創(chuàng)建一個啟動腳本以重新應(yīng)用該篩選規(guī)則。如果您要永久性地應(yīng)用此篩選，請將該篩選配置為靜態(tài) IPSec 策略?！癐PSec 策略管理”MMC 管理單元提供用于管理 IPSec 策略配置的圖形用戶界面。如果已應(yīng)用基于域的 IPSec 策略，netdiag /test:ipsec /debug 命令僅在由具有域管理員憑據(jù)的用戶執(zhí)行時才會顯示篩選詳細信息。IPSec 篩選規(guī)則和組策略在通過組策略設(shè)置分配 IPSec 策略的環(huán)境中，必須更新整個域的策略才能阻止特定的協(xié)議和端口。在成功配置組策略 IPSec 設(shè)置后，您必須強制刷新域中所有基于 Windows Server 2003、Windows XP 和 Windows 2000 的計算機上的組策略設(shè)置。為此，請使用以下命令： secedit /refreshpolicy machine_policyIPSec 策略更改將在兩個不同輪詢間隔之一的間隔內(nèi)檢測到。對于一個新指定的、應(yīng)用于 GPO 的 IPSec 策略，該 IPSec 策略將在為組策略輪詢間隔設(shè)置的時間內(nèi)應(yīng)用于客戶端，或者當在客戶端計算機上運行 secedit /refreshpolicy machine_policy 命令時應(yīng)用于客戶端。如果已為 GPO 指定了 IPSec 策略并且正在將新的 IPSec 篩選或規(guī)則添加到現(xiàn)有策略中，secedit 命令將不會使 IPSec 識別發(fā)生更改。在這種情況下，系統(tǒng)將在基于 GPO 的現(xiàn)有 IPSec 策略自己的輪詢間隔內(nèi)檢測到對該 IPSec 策略的修改。此時間間隔是在該 IPSec 策略的“常規(guī)”選項卡上指定的。您還可以通過重新啟動 IPSec Policy Agent 服務(wù)來強制刷新 IPSec 策略設(shè)置。如果 IPSec 服務(wù)停止或重新啟動，由 IPSec 保護的通訊將中斷并將需要幾秒鐘的時間才能恢復(fù)。這可能導(dǎo)致程序連接被斷開，對于主動傳輸大量數(shù)據(jù)的連接更是如此。當 IPSec 策略只應(yīng)用于本地計算機時，您不必重新啟動該服務(wù)。取消指定和刪除 IPSec 策略基于 Windows Server 2003 和 Windows XP 的計算機 具有本地定義的靜態(tài)策略的計算機 1. 打開命令提示符窗口，然后將工作文件夾設(shè)置為安裝 Ipsecpol.exe 的文件夾。 2. 要取消指定您以前創(chuàng)建的篩選，請使用以下命令： IPSeccmd.exe -w REG -p Block ProtocolPortNumber Filter y 例如，要取消指定以前創(chuàng)建的“Block UDP 1434 Filter”，請使用以下命令： IPSeccmd.exe -w REG -p Block UDP 1434 Filter -y3. 要刪除您創(chuàng)建的篩選，請使用以下命令： IPSeccmd.exe -w REG -p Block ProtocolPortNumber Filter -r Block ProtocolPortNumber Rule o例如，要刪除“Block UDP 1434 Filter”篩選和以前創(chuàng)建的兩個規(guī)則，請使用以下命令： IPSeccmd.exe -w REG -p Block UDP 1434 Filter -r Block Inbound UDP 1434 Rule -r Block Outbound UDP 1434 Rule -o 具有本地定義的動態(tài)策略的計算機如果通過使用 net stop policyagent 命令停止 IPSec Policy Agent 服務(wù)，將取消應(yīng)用動態(tài) IPSec 策略。要刪除以前使用的特定命令而不停止 IPSec Policy Agent 服務(wù)，請按照下列步驟操作： 1. 打開命令提示符窗口，然后將工作文件夾設(shè)置為安裝 Windows XP Service Pack 2 支持工具的文件夾。 2. 鍵入下面的命令： IPSeccmd.exe u注意：您還可以重新啟動 IPSec Policy Agent 服務(wù)以清除所有動態(tài)指定的策略。將您的新篩選規(guī)則應(yīng)用到所有協(xié)議和端口默認情況下，在 Microsoft Windows 2000 和 Microsoft Windows XP 中