日期:2020-12-24
windows防火牆可以阻止所有ip訪問本機,如果想讓某個ip訪問本機,就把它加到「例外」規則中,「例外」規則就相當於白名單,但防火牆沒有黑名單,不能指定阻止某個ip的訪問。
如果想阻止某個ip訪問本機,可以使用「本地ip安全策略」。執行「secpol.msc」可以開啟「本地安全設定」,裡面有「ip 安全策略,在 本地計算機」設定項,通過它,就可以達到阻止指定ip訪問本機的目的。
如果想這麼做,首先要在「ip 安全策略,在 本地計算機」中建立一條「ip 安全策略」,然後在新建的「ip 安全策略」中,建立一條「ip 篩選器列表」,在新建的「ip 篩選器列表」中,建立一條或多條「ip 篩選器」,「ip 篩選器」就指定了遠端ip的ip位址、要訪問本機的埠、訪問協議等。並為每條新建的「ip 篩選器」建立乙個「篩選器操作」,「篩選器操作」指定了是阻止、放行還是協商三個動作之一。
這樣,當指定的遠端ip要訪問本機某個埠時,就會遍歷「ip 安全策略,在 本地計算機」中的策略列表,遍歷到你新建的策略後,再遍歷其中的「ip 篩選器列表」,遍歷到你新建的「ip 篩選器列表」後,再遍歷其中的「篩選器」。依據篩選器和篩選器操作指定的規則來對待某次網路訪問(例如是放行還是阻止)。
ip安全策略支援從win2000開始的所有windows系統。
限制:在server2003上,不支援ipv6,高版本支援;
在所有系統上,不支援過濾ip範圍,但可以通過子網掩碼指定過濾某個子網;
在所有系統上,不支援過濾埠範圍,如果有這個需求,只能把乙個個埠加到「篩選器列表」中。
在server2003上,通過nets命令列工具的ipsec引數,可以代替ui來操作ip安全策略:
建立乙個ip 安全策略(空的),名字為scottliu
在[ip 安全策略,在 本地計算機]的右側列表中,新增scottliu項。
netsh ipsec static add policy name=scottliu
刪除乙個ip 安全策略
上面剛建立的scottliu策略就會被刪除
netsh ipsec static delete policy name=scottliu
建立乙個篩選器列表(空的),名字為denyip
在[ip 安全策略,在 本地計算機 | 右側的操作視窗中 | 更多操作 | 管理ip篩選器列表和篩選器操作 | 管理ip篩選器列表]的「ip篩選器列表」中,新增denyip項。
netsh ipsec static add filterlist name=denyip
建立乙個篩選器,並加到剛建立的篩選器列表denyip中
在[ip 安全策略,在 本地計算機 | 右側的操作視窗中 | 更多操作 | 管理ip篩選器列表和篩選器操作 | 管理ip篩選器列表]的「ip篩選器列表」中,雙擊denyip項,在ip篩選器列表中,新增一條記錄。
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.40.2 dstaddr=me dstport=3389 protocol=tcp
刪除剛建立的篩選器
// netsh ipsec static delete filter filterlist=denyip srcaddr=192.168.40.2 dstaddr=me dstport=3389 protocol=tcp
建立乙個篩選器操作(即阻止還是放行),名字叫denyact
在[ip 安全策略,在 本地計算機 | 右側的操作視窗中 | 更多操作 | 管理ip篩選器列表和篩選器操作 | 管理篩選器操作]的「篩選器操作」列表中,新增denyact項。
netsh ipsec static add filteraction name=denyact action=block
把上面建的組成一條規則加入規則到安全策略scottliu,規則名為kill3389
在[ip 安全策略,在 本地計算機 | 右側的scottliu策略上右鍵選屬性 | 規則 | ip安全規則 | ip篩選器列表]中,多了一項denyip並自動勾選。
netsh ipsec static add rule name=kill3389 policy=scottliu filterlist=denyip filteraction=denyact
啟用scottliu這個策略
相當於在scottliu這個策略上右鍵,選「分配」。
netsh ipsec static set policy name=scottliu assign=y
刪除所有安全策略
netsh ipsec static del all
源**中的ipseccreatepolicydata應該是建立策略。
真正建立的地方,應該是persistpolicyobject
marshallpolicybuffer這個是組合ipsecdata鍵的二進位制資料。
policy-r.c是主要實現檔案。
從vista開始,微軟新增加了wfp api來代替「ip 安全策略」來阻止指定ip訪問本機,並且功能更強大,上面說的那些限制,wfp都沒有。
設定本地安全策略
通過secedit工具設定本地安全策略 1 更改本地策略 設定密碼永不過期 禁用密碼複雜度 2 currentpath myinvocation.mycommand.path.substring 0,myinvocation.mycommand.path.lastindexof 1 3if test...
本地安全策略 1
目的 保護計算機安全。定義 影響當前計算機的安全設定,使用者登陸之後會受安全策略的控制 開啟本地安全策略編輯器 secpolic.msc 更改本地安全策略 gpupdate force針對賬戶的密碼安全設定 密碼複雜性要求 大小寫數字符號 最小密碼長度 0 14 最短使用期限 防止密碼洩露,剛改密碼...
設定本地安全策略
通過secedit工具設定本地安全策略 1 更改本地策略 設定密碼永不過期 禁用密碼複雜度 2 currentpath myinvocation.mycommand.path.substring 0,myinvocation.mycommand.path.lastindexof 1 3if test...