win2003伺服器透過ipsec做防火牆的配置方法

這篇文章主要介紹了win2003伺服器透過ipsec做防火牆的配置方法,需要的朋友可以參考下

windows2003系統的防火牆功能較弱，關鍵是無法使用命令進行配置，這對批次部署會造成很大的工作量，因此使用ipsec進行訪問控制

在windows2003下是可以透過命令 netsh ipsec進行操作

命令的語法：(v=ws.10).aspx#BKMK_add_rule

1、刪除所有安全策略

netsh ipsec static del all

2、建立策略test

netsh ipsec static add policy name=test

3、建立一個篩選器操作，可以理解為動作，匹配規則後執行的操作，類似Linux的iptables中的ACCEPT和DROP

建立拒絕操作

netsh ipsec static add filteraction name=block action=block

建立接受操作

netsh ipsec static add filteraction name=permit action=permit

4、新增篩選器列表，用於拒絕操作，類似iptables的預設規則

netsh ipsec static add filterlist name=deny_all

新增篩選器，拒絕所有的連線

netsh ipsec static add filter filterlist=deny_all 嬰兒起名 dstaddr=Me

5、將建立的拒絕所有請求的篩選器和篩選器操作新增到策略test

netsh ipsec static add rule name=deny_all policy=test filterlist=deny_all filteraction=block

6、建立伺服器本身對外訪問的策略

建立篩選器列表server_access

netsh ipsec static add filterlist name=server_access

在篩選器列表server_access中新增一個篩選器，允許本機的任意埠到任意地址的，協議埠根據需要自己新增

netsh ipsec static add filter filterlist=server_access srcaddr=Me dstaddr=any protocol=tcp dstport=80

在策略test中應用篩選器server_access，並且對匹配篩選器的資料包執行允許操作

netsh ipsec static add rule name=server_access policy=test filterlist=server_access filteraction=permit

7、建立web伺服器訪問策略

建立篩選器列表web

netsh ipsec static add filterlist name=web

在篩選器列表web上新增篩選器，允許外部任意地址對本機的80埠的訪問

netsh ipsec static add filter filterlist=web srcaddr=any dstaddr=Me dstport=80

在策略test中應用篩選器列表web

netsh ipsec static add rule name=web policy=test filterlist=web filteraction=permit

8、建立ftp伺服器訪問策略

netsh ipsec static add filterlist name=ftp

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=21

為ftp伺服器新增被動埠，這裡這新增三個作為測試

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65530

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65531

netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65532

netsh ipsec static add rule name=ftp policy=test filterlist=ftp fileraction=permit