如何使用IPSec阻止特定网络协议和端口.docVIP

如何使用 IPSec 阻止特定网络协议和端口 Internet 协议安全 (IPSec) 筛选规则可用于帮助保护基于 Windows 2000、Windows XP 和 Windows Server 2003 的计算机免遭病毒及蠕虫病毒等威胁带来的基于网络的攻击。“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 本文介绍如何为入站和出站网络通信筛选特定的协议和端口组合。本文还包括用于确定当前是否为基于 Windows 2000、Windows XP 或 Windows Server 2003 的计算机指定了 IPSec 策略的步骤、用于创建和指定新的 IPSec 策略的步骤以及用于取消指定和删除 IPSec 策略的步骤。IPSec 策略可以在本地应用，也可以作为域的组策略的一部分应用于该域的成员。本地 IPSec 策略可以是静态的（重新启动后一直有效）或动态的（易失效）。静态 IPSec 策略被写入本地注册表并在操作系统重新启动后一直有效。动态 IPSec 策略没有被永久性地写入注册表，并且在操作系统或 IPSec Policy Agent 服务重新启动后被删除。重要说明：本文包含有关使用 Ipsecpol.exe 编辑注册表的信息。编辑注册表之前，一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 256986? (/kb/256986/ ) Microsoft Windows 注册表说明 注意：IPSec 筛选规则会导致网络程序丢失数据和停止响应网络请求，包括无法对用户进行身份验证。只有当您清楚地了解阻止特定端口对您的环境具有的影响之后，才应将 IPSec 筛选规则作为一种迫不得已的防护措施加以采用。如果您按照本文列出的步骤创建的 IPSec 策略对您的网络程序有不利影响，请参阅本文稍后的“取消指定和删除 IPSec 策略”一节，了解有关如何立即禁用和删除该策略的说明。确定是否指定了 IPSec 策略 基于 Windows Server 2003 的计算机 在为基于 Windows Server 2003 的计算机创建或指定任何新的 IPSec 策略之前，请确定是否有从本地注册表或通过组策略对象 (GPO) 应用的任何 IPSec 策略。为此，请按照下列步骤操作： 运行 Windows Server 2003 CD 上的 Support\Tools 文件夹中的 Suptools.msi，安装 Netdiag.exe。 打开命令提示符窗口，然后将工作文件夹设置为 C:\Program Files\Support Tools。 运行以下命令以验证尚未为该计算机指定现有 IPSec 策略： netdiag /test:ipsec 如果没有指定策略，您将收到以下消息： IP 安全测试。. . . . . . . . : 传递的 IPSec 策略服务是活动的，但是没有指定策略。 基于 Windows XP 的计算机 在为基于 Windows XP 的计算机创建或指定任何新的 IPSec 策略之前，请确定是否有从本地注册表或通过 GPO 应用的任何 IPSec 策略。为此，请按照下列步骤操作： 运行 Windows XP CD 上的 Support\Tools 文件夹中的 Setup.exe，安装 Netdiag.exe。 打开命令提示符窗口，然后将工作文件夹设置为 C:\Program Files\Support Tools。 运行以下命令以验证尚未为该计算机指定现有 IPSec 策略： netdiag /test:ipsec 如果没有指定策略，您将收到以下消息： IP 安全测试。. . . . . . . . : 传递的 IPSec 策略服务是活动的，但是没有指定策略。 创建用于阻止通信的静态策略 基于 Windows Server 2003 和 Windows XP 的计算机 对于没有启用本地定义的 IPSec 策略的系统，请创建一个新的本地静态策略，以阻止定向到 Windows Server 2003 和 Windows XP 计算机上的特定协议和特定端口的通信。为此，请按照下列步骤操作： 验证 IPSec Policy Agent 服务已在“服务”MMC 管理单元中启用并启动。 安装 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service P