端口关闭与端口过滤的区别.pdfVIP

详解端口关闭与端口过滤（端口屏蔽、端口阻塞）的区别 Xiaojiwen 2012-4-8 一、了解ipseccmd 命令的用法 首先需要指出的是，IPSec 和TCP/IP 筛选是不同的东西，大家不要混淆了。TCP/IP 筛 选的功能十分有限，远不如IPSec 灵活和强大。下面就说说如何在命令行下控制IPSec 。 XP 系统用ipseccmd 点击下载此文件。2000 下用ipsecpol 。WIN2003 下直接就是IPSEC 命 令。遗憾的是，它们都不是系统自带的。 ipseccmd 在 xp 系统安装盘的 SUPPORT\TOOLS\SUPPORT.CAB 中，ipsecpol 在2000 Resource Kit 里。而且，要使用ipsecpol 还必须带上另外两个文件：ipsecutil.dll 和text2pol.dll 。三个文件一共119KB。 winxp 命令行下ipsec 屏蔽不安全的端口 IPSec 叫作Internet 协议安全。主要的作用是通过设置IPsec 规则，提供网络数据 包的加密和认证。不过这样高级的功能我无缘消受，只是用到了筛选功能罢了。通过设置规 则进行数据包的筛选器，可以屏蔽不安全的端口连接。 你可以运行gpedit.msc，在Windows 设置计算机设置IP 安全设置中进行手工设 置。更加简单的方法是使用ipseccmd 命令。 ipseccmd 在WindowsXP 中没有默认安装，它在XP 系统安装盘的 SUPPORT\TOOLS\SUPPORT.CAB 中。在Windows2000 中它的名字叫做ipsecpol，默认 应该也没有安装。 使用ipseccmd 设置筛选，它的主要作用是设置你的筛选规则，为它指定一个名称， 同时指定一个策略名称，所谓策略不过是一组筛选规则的集合而已。比如你要封 闭TCP135 端口的数据双向收发，使用命令： ipseccmd -w REG -p Block default ports -r Block TCP/135 -f *+0:135:TCP -n BLOCK -x 这里我们使用的是静态模式，常用的参数如下： -w reg 表明将配置写入注册表，重启后仍有效。 -p 指定策略名称，如果名称存在，则将该规则加入此策略，否则创建一个。 -r 指定规则名称。 -n 指定操作，可以是BLOCK 、PASS 或者INPASS，必须大写。 -x 激活该策略。 -y 使之无效。 -o 删除-p 指定的策略。 其中最关键的是-f。它用来设置你的过滤规则，格式为 A.B.C.D/mask:port=A.B.C.D/mask:port:protocol 。其中=前面的是源地址，后面 是目的地址。如果使用+ ，则表明此规则是双向的。IP 地址中用*代表任何IP 地址， 0 代表我自己的IP 地址。还可以使用通配符，比如 144.92.*.* 等效于 144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。 如果希望将规则删除，需要先使用-y 使之无效，否则删除后它还会持续一段时间。 二、通过实验来观察效果并验证 实验过程环境：windows XP ，配合端口监视软件监控和wireshark 抓包验证。 实验目的：了解在操作系统下关闭端口和使用本地安全策略过滤端口的本质区别。 实验指导思想：首先在windows time 服务开启的情况下，验证可以通过internet 时钟同步服 务校准机器时间（注意时间误差不要大于 18 小时），同时也可以捕获NTP 的数据包。然后 分别使用两种不同的方法屏蔽此服务。一是使用ipseccmd 命令，通过本地安全策略阻止udp 123 端口（NTP 服务端口），结果时时钟同步操作的失败、wireshark 抓包失败，但端口监视 软件显示此端口仍处于监听状态（端口未关闭）。然后使用第二种方法，即停止windows time 服务，此时，端口监视软件显示，与udp 123 对应的进程消失。由此得证。 基本步骤： C:\ipseccmd -p test -r time -f *+0:123:udp -n BLOCK -w reg –x //创建test 本地安全策略，规则名time ，任意IP 与本机的udp 123 端口通信双 向禁止，写入注册表并立即启用 C:\ipseccm