使用netsh命令来管理IP安全策略（详细介绍）

netsh是⼀个⾮常强⼤的、命令⾏的⽹络配置⼯具。它可以进⾏⽹卡配置、防⽕墙配置、IP安全策略等配置。本⽂主要从IP安全策略这个⾓度来介绍netsh的强⼤功能。1、进⼊netsh的IP安全策略界⾯

在命令⾏窗⼝（cmd.exe）下，输⼊：netsh ipsec static，即可进⾏IP安全策略的配置。2、创建⼀个IP安全策略（policy ）

创建⼀个名为splaybow.com的IP安全策略

C:\\>netsh ipsec static add policy name=splaybow.com

创建⼀个安全策略，名称为splaybow.com，描述为splaybow.com's policy

C:\\>netsh ipsec static add policy name=splaybow.com description=\"splaybow.com's policy\"更多的参数，可以使⽤如下命令来获取。netsh ipsec static add policy ? （回车）3、删除⼀个IP安全策略（policy ）删除名称为splaybow.com的IP安全策略

netsh ipsec static delete policy splaybow或

netsh ipsec static delete policy name=splaybow4、创建⼀个筛选器列表（filterlist）创建⼀个筛选器列表，名称为denyAll

netsh ipsec static add filterlist name=denyAll5、删除筛选器列表（filterlist）删除名为denyAll的筛选器列表

netsh ipsec static delete filterlist name=denyAll6、创建筛选器（filter）

为denyAll这个筛选器列表中添加⼀个筛选器，这个筛选器禁⽌⼀切⽹络流量

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=ANYmirrored=yes description=\"anywhere to me, anyProtocol, mirrored\"筛选器的参数及含义如下：

标签 值

filterlist -筛选器要添加到的筛选器列表的名称。srcaddr -源 ip 地址，dns 名称或 server 类型。dstaddr -⽬标 ip 地址，dns 名称或 server 类型。description -筛选器的简短信息。

protocol -可以是 ANY，ICMP，TCP，UDP，RAW，或者⼀个整数。mirrored -值为 yes 将创建两个筛选器，每个⽅向⼀个。srcmask -源地址掩码或⼀个 1 到 32 的前缀。dstmask -⽬标地址掩码⼀个 1 到 32 的前缀。

srcport -数据包的源端⼝。值为 0 意味着任意端⼝。dstport -数据包的⽬标端⼝。值为 0 意味着任意端⼝。7、删除筛选器（filter）删除第6步创建的筛选器

C:\\>netsh ipsec static delete filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=ANYmirrored=yes

8、创建筛选器动作（filteraction）

创建⼀个筛选器动作，名为allow，action为permit

C:\\>netsh ipsec static add filteraction name=allow action=permit创建⼀个筛选器动作，名为deny，action为block

C:\\>netsh ipsec static add filteraction name=deny action=block创建筛选器动作的相关参数：

标签 值

name -筛选器操作的名称。

description -筛选器操作类别的简短信息。

qmpfs -设置快速模式完全向前保密的选项。

inpass -接受不安全的通讯，但是总是⽤ IPSec响应。这接受 yes 或 no。soft -允许与没有 IPSec 的计算机进⾏不安全的通讯。可以是 yes 或 no。action -可以是 permit，block 或 negotiate。9、删除筛选器动作（filteraction）删除名称为allow的筛选器动作

C:\\>netsh ipsec static delete filteraction name=allow10、添加⼀个规则（rule）

添加⼀个规则，名称为“deny\"，所属策略为“splaybow.com”，⽤于将denyAll这个筛选器列表进⾏deny操作

netsh ipsec static add rule name=deny policy=splaybow.com filterlist=denyAll filteraction=deny11、删除⼀个规则（rule）

将刚才创建的规则删除掉，注意这⾥除了要指定Name以外，也要指定policy，否则系统⽆法定位到是哪⼀条规则。

C:\\>netsh ipsec static delete rule name=deny policy=splaybow.com12、指派安全策略（policy）

指派名称为splaybow.com的安全策略为当前⽣效的策略

netsh ipsec static set policy name=splaybow.com assign=y13、导出安全策略

netsh ipsec static exportpolicy c:\\splaybow.ipsec14、删除所有IP安全策略

删除IP安全策略中的所有的内容，包括所有的策略、规则、筛选器列表、筛选器、筛选器动作等。

netsh ipsec static del all15、把安全策略导⼊

netsh ipsec static importpolicy c:\\1.ipsec

关于使⽤netsh命令来管理IP安全策略，本⽂就介绍这么多，希望对⼤家有所帮助，谢谢！

服务器如果进⾏系统端⼝防护预防⼊侵

⽆论是linux还是windows，都需要通过⽹络端⼝进⾏访问，⼀些程序和服务是有固定的默认端⼝存在的。⽽这些默认的端⼝如果不进⾏防护和修改的话，就容易对⼊侵。系统⼀共有65535个端⼝。⼊侵者⼀般都会先选择默认端⼝进⾏连接尝试。⽽修改数字⼤的端⼝，会给⼊侵者带来很⼤的难度。如果进⾏端⼝防御呢？

1、修改默认远程端⼝33/222、修改默认FTP端⼝21

3、修改默认Mysql/Mssql端⼝3306/1433

4、关闭易⼊侵端⼝：88、137、138、139、3、445、4、593、636、1025、3001-3003、3095-3097等5、关闭影⼦账号端⼝：496、关闭易提权端⼝：123

7、关闭imail激活的两个IP，连接所有端⼝156.21.1.171、156.21.1.228、使⽤安全策略进⾏协同防护9、配置并开启防⽕墙10、配置服务器安全狗软件

11、如不适⽤UDP端⼝，封闭所有UDP。

以上修改可有助于防⼊侵，但并不是必然防护。仍需运维⼈员长期定期进⾏服务器安检维护。FTP⼯具与端⼝，在不使⽤的情况下，建议直接关闭端⼝。删除软件。

到此这篇关于使⽤netsh命令来管理IP安全策略(详细介绍)的⽂章就介绍到这了,更多相关netsh管理IP安全策略内容请搜索以前的⽂章或继续浏览下⾯的相关⽂章希望⼤家以后多多⽀持！