简介:本实验是在Windows系统上配置安全策略进行网络安全防护,通过图形界面配置工作量较大,特别是阻止/允许的来源IP访问比较多、比较频繁的时候。而本实验就是在命令行用netshipsec命令实现对192.1.1.1.249配置操作,实现限制192.1.1.0网段只允许192.1.1.72访问80端口。
工具/原料
windows2003
windows2008
方法/步骤
1、1.创建策略netshipsecstaticaddpolicyname="249-WAN-IP"description=”249机器的IP安全策略”
2、2.创建筛选器操作netshipsecstaticaddfilteractionname="阻止"action=blocknetshipsecstaticaddfilteractionname="允许"action=permit
3、3.创建筛选列表netshipsecstaticaddfilterlistname="blacklist"description="黑名单"netshipsecstaticaddfilterlistname="whitelist"description="白名单"
4、4.创建筛选器netshipsecstaticaddfilterfilterlist="blacklist"srcaddr=anydstaddr=medstport=80protocol=tcpmirrored=yesdescription="禁止80端口访问控制"——禁止任何IP访问本机的80端口
5、netshipsecsta隋茚粟胫ticaddfilterfilterlist=blacklistsrcaddr=192.1.1.0霜杼厮贿srcmask=255.255.255.0srcport=0dstaddr=medstport=0protocol=anydesc=禁止1网段mirrored=yes——限制1网段访问netshipsecstaticaddfilterfilterlist="whitelist"srcaddr=192.1.1.72dstaddr=medstport=80description="1.72的80端口访问控制"protocol=TCPmirrored=yes——允许1.72访问80端口
6、5.创建策略情写硎霈规则netshipsecstaticaddrulename="deny-1net-ip-access"policy="稆糨孝汶;249-WAN-IP"filterlist="blacklist"filteraction="阻止"desc=阻止1网段主机所有通信netshipsecstaticaddrulename="admit-1net-ip-access"filterlist="whitelist"filteraction="允许"policy="249-WAN-IP"desc=允许部分1网段主机80端口通信
7、6.激活策略netshipsecstaticsetpolicyname="249-WAN-IP"assign=y由于添加白名单的ip比较多,将所有要添加的ip写在一个bat脚本里面,然后统一执行
