史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-03-09, 01:09 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - IPSec Filter (IP安全策略)

IPSec Filer過濾服務在網路棧中最先處理分組,對於那些不符合過濾原則的分組一律簡單丟棄。和TCP/IP Filter相比,IPSec Filer可以應用於單個連接頭,可以恰當的阻塞ICMP。而且IPSec Filer不需要重起就生效。他主要用於服務器的解決方案,而不是個人防火牆技術,因為它和TCP/IP Filter一樣,也會阻塞合法外出連接的入端服務(除非所有高連接阜均允許通過)。

新建IPSec Filer可以使用管理工具》本地安全策略(sepol.msc)。可以在GUI界面中,右擊左側"IP安全策略,在本地機器"結點,然後選「管理IP篩選器表和篩選器操作」(本文不介紹GUI界面)。

我們更喜歡用ipsecpol.exe命令行工具管理IPSec過濾服務。他便於腳本編寫,比IPSec策略管理器好用多了。ipsecpol.exe可以從win2000reskit包中找到的。

下面例子就是只允許80連接阜是可以訪問的:

ipsecpol\\computername -w REG -p "Web" -o)
ipsecpol\\computername -x -w REG -p "Web" -r "BlockAll" -n BLOCK -f 0+*
ipsecpol\\computername -x -w REG -p "Web" -r "OkHTTP" -n PASS -f
0:80+*::TCP

後兩條命令新建了一條叫「WEB」的IPCSec策略,包含兩條過濾規則,一是「BlockAll」,即禁止所有協議進出此主機;第二條是"OkHTTP",允許80連接阜的服務進出此主機。如果還允許ping或ICMP(建議不開啟),你可以新增下面規則:

ipsecpol\\computername -x -w REG -p "Web" -r "OkICMP" -n PASS -f 0+*::ICMP

上述例子是一個對所有地址均可用的策略,你可以用-f開關來指定單個ip地址,從而實現具體的連接頭的過濾。對按上述例子配置的服務器進行連接阜掃瞄的時候可以看到的只要80連接阜。當此策略不啟動時,所有連接阜又都是可以訪問的。

上例中的每個參數見下表:
對windows2000主機進行過濾的ipsecpol參數表:
-------------------------------------
-w REG ipsecpol設為靜態模式(static mode),此模式將策略寫入指定的
存儲地方(不同於預設值的動態模式,該模式下只要策略帶來服務器
是啟動的,策略就生效,重起才去除)。REG參數指定策略寫入
Registry,這對於單獨的WEB服務器來說是合適的(定一個選擇是DS
,即寫入目錄)。
-p 為策略指定任意一個名字(比如WEB),如果已有同名的策略存在,
則本規則會新增其後,比如例子中的第三行OkHTTP規則將新增於WEB
策略中
-r 為規則這指定名字,他將替代策略中已有的同名規則
-n 在靜態模式中,NegotiationPolicyList選項可以指定3個項:
BLOCK、PASS以及INPASS。
BLOCK 忽略NegotiationPolicyList中的其他策略,使過濾服務阻塞或丟棄
所有分組;這與IPSec管理界面中選中BLOCK單選按鈕的效果一樣。
PASS 忽略NegotiationPolicyList中的其他策略,允許所有分組通過過濾
器。這與IPSec管理界面中選中Permit單選按鈕的效果一樣。
-f 過濾表(FilterList),一個或多個空格分開的IPSec Filer。過濾
規則將此格式稱為filterspec(過濾規範):
A.B.C.D /maskort=A.B.C.D /maskort:IP protocol
其中「=」左邊是源地址目標地址在右邊,如果用「+」代替「=」
,則新建了2個映像的過濾器,兩個方向均可。掩碼和連接阜是可選的
,如果省略的話,則掩碼為255.255.255.255,連接阜為「Any」。A.
B.C.D /mask可用下面的方式代替:
0 表示本地系統地址
* 表示任何地址
DNS 名字(注意:多重解釋將被忽略)
IP協議(比如:ICMP)是可選項:如果省略,則假定為「Any」IP協
議。如果指定了一個IP協議,則其前面應該有連接阜號或是"::"。.
-x 可選項,在LOCAK註冊時啟動策略(注意我們在第一條規則時使用它
以啟動www策略,此開關似乎只在策略的第一個過濾器新建時起作
用)。
-y 可選項,在LOCAL註冊時使策略失活(inactive)。
-o 可選項,將刪除由-p指定的策略(注意:它將刪除指定策略的各個
方面,如果你有其他策略指向該策略中的對象時不要使用)
-------------------------------------

我們還應當注意到,IPSec過濾器不會阻擋連接阜500(UDP)以及windows2000域控制器上的連接阜88(TCP/IP),因為他們可能用來執行IPSec認證服務(88是Kerberos ,500是IKE:Internet Key Exchange)。不過修正檔1中包含了一個新註冊設置,允許通過關閉IPSec驅動程式免除規則來禁止Kerberos連接阜,其設置為:

HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt
Type: DWORD
Max: 1
Min: 0
Default: 0

IKE分組總是免除檢查的,不受註冊設置影響,Kerberos和RSVP分組在此註冊設置為1時將不在被免除檢查。

由於ipsecpol健壯的命令行語法,他顯得比較苛刻。在上面例子中過濾規則時從頂向下解析的,簡單改變順序會導致過濾的不正確。而且語法中,源或目的地址的連接阜範圍也似乎沒辦法指定,因此,使用起來要格外小心,以免阻塞了必要的連接阜。下面是一些小技巧:

1 如果想刪除一個策略,則在用-o開關刪除之前或之後,用-y開關禁止該策略。否則還起作用。
2 在修改策略時,要麼用命令行工具ipsecpol.exe,要麼用GUI圖形界面。當我們用ipsecpol.exe新建策略,而用GUI進行編輯的時候,就產生了衝突,並留下了一些重要的安全漏洞。
3 一定要刪除那些沒有用的過濾規則,以防止產生衝突。這可是一個重要的查點對像哦。
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-04-15, 02:30 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

IP安全原則的幾點誤區

OK現在我們看網上流傳的誤區
誤區一
有了IP安全原則 可以拋棄所有的防火牆了

批判:
微軟關於IPSEC中已經明確指出
Windows IPsec 並不是功能全面並關於主機的防火牆,它也不支持動態篩選功能或有狀態篩選功能

補充: IPSEC 只能阻止 特定連接阜的所有資料流(正常的和攻擊的資料流都阻止)
但是80連接阜是不能列為 IPSEC的 禁止範圍的,因此 原則 在反彈木馬前是無效的.
同理 比如QQ連接阜 MSN的連接阜 等等 都不能列為 禁止範圍.

誤區二
IP原則組是windowsXP原有的防火牆的規則

批判:
IPSEC早在WIN2000的時候就有了 那時還沒什麼系統原有的的防火牆.

系統原有的的防火牆和IPSEC是完全不同的元件.
因此這種說法是荒謬的.

誤區三
IPSEC 能阻止大部分木馬和蠕蟲

批判
看似正確,其實錯誤
IPSEC通過強行關閉特定的連接阜來阻止木馬或蠕蟲
比如 衝擊波利用了135、137、138、139、445等連接阜
你用IPSEC 禁止了上述連接阜 禁了衝擊波,也無法使用文件共享.
要是遇到 自訂連接阜的木馬,也就束手無策了,關閉所有連接阜吧,和直接拔網線沒區別,不禁吧 等於沒防護.


因此IP安全原則是無法替代防火牆的,更不是什麼XP原有的防火牆的規則.

IPsec的真正作用 並不是防禦病毒和關閉連接阜.
大家看微軟關於IPSEC的敘述(本篇引用的部分也來自這裡)
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
向 psac 送花的會員:
herchenslime (2013-05-05)
感謝您發表一篇好文章
舊 2006-04-22, 07:07 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

使用ipsec阻止對Tcp135連接阜的訪問
一.新增IP篩選器和篩選器操作
1."開始"->"程序"->"系統管理工具"->"本機安全原則".微軟建議使用本機安全原則進行IPsec的設定,因為本機安全原則只套用到本機電腦上,而通常ipsec都是針對某台電腦量身定作的.

2.右擊"Ip安全原則,在本機機器",選項"管理 IP 篩選器表和篩選器操作",啟動管理 IP 篩選器表和篩選器操作對話視窗.我們要先新增一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全原則.

3.在"管理 IP 篩選器表"中,按"增加"按鈕建立新的IP篩選器:
1)在跳出的IP篩選器列表對話視窗內,填上合適的名稱,我們這兒使用"tcp135",描述隨便填寫.按下右側的"增加..."按鈕,啟動IP篩選器嚮導.
2)跳過歡迎對話視窗,下一步.
3)在IP通信源頁面,源地方選"任何IP位址",因為我們要阻止傳入的訪問.下一步.
4)在IP通信目標頁面,目標位址選"我的IP位址".下一步.
5)在IP傳輸協定檔案類型頁面,選項"TCP".下一步.
6)在IP傳輸協定連接阜頁面,選項"到此連接阜"並設定為"135",其它不變.下一步.
7)完成.關閉IP篩選器列表對話視窗.會發現tcp135IP篩選器出現在IP篩選器列表中.

4.選項"管理篩選器操作"標籤,新增一個拒絕操作:
1)按下"增加"按鈕,啟動"篩選器操作嚮導",跳過歡迎頁面,下一步.
2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步.
3)在篩選器操作一般選項頁面,將行為設定為"阻止".下一步.
4)完成.

5.關閉"管理 IP 篩選器表和篩選器操作"對話視窗.

二.新增IP安全原則
1.右擊"Ip安全原則,在本機機器",選項"新增IP安全原則",啟動IP安全原則嚮導.跳過歡迎頁面,下一步.

2.在IP安全原則名稱頁面,填寫合適的IP安全原則名稱,這兒我們可以填寫"拒絕對tcp135連接阜的訪問",描述可以隨便填寫.下一步.

3.在安全通信要求頁面,不選項"啟動預設回應規則".下一步.

4.在完成頁面,選項"編輯內容".完成.

5.在"拒絕對tcp135連接阜的訪問內容"對話視窗中進行設定.首先設定規則:
1)按下下面的"增加..."按鈕,啟動安全規則嚮導.跳過歡迎頁面,下一步.
2)在隧道終結點頁面,選項預設的"此規則不指定隧道".下一步.
3)在網路檔案類型頁面,選項預設的"所有網路連接".下一步.
4)在身份驗證方法頁面,選項預設的"windows 2000預設值(Kerberos V5 傳輸協定)".下一步.
5)在IP篩選器列表頁面選項我們剛才建立的"tcp135"篩選器.下一步.
6)在篩選器操作頁面,選項我們剛才建立的"拒絕"操作.下一步.
7)在完成頁面,不選項"編輯內容",確定.

6.關閉"拒絕對tcp135連接阜的訪問內容"對話視窗.

三.指派和套用IPsec安全原則
1.預設情況下,任何IPsec安全原則都未被指派.首先我們要對新增立的安全原則進行指派.在本機安全原則MMC中,右擊我們剛剛建立的""拒絕對tcp135連接阜的訪問內容"安全原則,選項"指派".
2.立即重新整理群組原則.使用"secedit /refreshpolicy machine_policy"指令可立即重新整理群組原則.
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-09-13, 06:54 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

How to :使用IPSec加密保護Web代理服務通訊
 
內容概要:雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護,但是作為路由級的企業防火牆,ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中,如果內部網路中有人使用Sniffer進行嗅探,那麼所有的網路通訊資料都會被他截取,所以未加密保護的網路通訊是不安全的。在這篇文章中,你可以學習到如何使用IPSec來加密保護客戶和ISA Server的Web代理服務之間的通訊。
 
雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護,但是作為路由級的企業防火牆,ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中,如果內部網路中有人使用Sniffer進行嗅探,那麼所有的網路通訊資料都會被他截取,所以未加密保護的網路通訊是不安全的。
注意:在此我指的是共享式網路,例如網路使用集線器進行互連的網路;如果是基於交換機的交換式網路,那麼對方是不容易嗅探到單播的網路通訊資料的。
幸好微軟早就考慮到了這點,從Windows 2000開始就提供了IPSec安全策略,可以通過配置IPSec安全策略來使用IPSec加密保護網路之間的資料通信。ISA Server可以相容IPSec的網路通信加密保護功能,在部署了ISA Server的情況下,你一樣可以使用IPSec安全策略來加密保護網路主機之間的通信。
注意:在此僅僅是使用IPSec的網路通訊加密保護功能,切勿在ISA Server上使用IPSec的阻止網路通訊功能!這是由於IPSec工作在網路驅動的最底層,它的配置會優先於ISA Server的配置進行操作。
下圖是我們的試驗網路,ISA Server的內部IP位址為192.168.0.1,對內部網路提供了連接阜為TCP 8080的Web代理服務;內部網路使用集線器進行連接,內部一台電腦(192.168.0.8)通過ISA Server上的Web代理服務來訪問Internet。
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec.jpg

在內部的另外一台電腦上,使用Sniffer來嗅探網路,可以嗅探到網路的所有通訊資料。如下圖,可以清楚的看到Web代理客戶192.168.0.8正在通過ISA Server(192.168.0.1)上的Web代理服務來訪問ISA中文站http://www.isacn.org。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec00.jpg

因此,我將部署IPSec安全策略來加密保護Web代理客戶和ISA Server的Web代理服務之間的通訊。在部署IPSec加密保護通訊時,你需要在通訊的雙方上同時進行部署才能使用。可以使用的身份驗證方式除了域中使用的Kerberos協議外,對於工作組環境下你還可以使用IPSec證書或者預設的共享密鑰這兩種方式,推薦使用IPSec證書
在此我使用IPSec證書,在ISA Server和客戶機192.168.0.8上,已經安裝好了IPSec證書,如下圖所示,使用的是由CA fengjianzi.vicp.net頒發的IPSec證書。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec01.jpg


http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec02.jpg




現在我們就可以部署IPSec安全策略了。首先在ISA Server服務器上進行配置,此電腦的操作系統為Windows server 2003企業版(不同版本的Windows系統中的IPSec安全策略可能細節上有所不同)。點擊開始,執行gpedit.msc,在彈出的組策略編輯器中,依次展開電腦配置Windows設置安全設置,點擊IP安全策略,然後右擊右邊的空白處,選擇創建IP安全策略

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec03.jpg

在彈出的歡迎使用IP安全策略嚮導頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec04.jpg

IP安全策略名稱頁,輸入名稱為Secure Web Proxy Clients,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec05.jpg

安全通訊請求頁,取消勾選啟動預定響應規則,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec06.jpg

正在完成IP安全策略嚮導頁,點擊完成

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec07.jpg

此時,彈出了剛才建立的IP安全策略的內容交談視窗,點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec08.jpg

在彈出的歡迎使用創建IP安全規則嚮導頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec09.jpg

隧道終結點頁,接受預定的此規則不指定隧道,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec10.jpg

網路類型頁,由於我們只是針對內部網路中的客戶,所以選擇局域網(LAN),點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec11.jpg



IP篩選器列表頁,點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec12.jpg

在彈出的IP篩選器列表交談視窗,輸入名稱為With Web Proxy Clients,然後點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec13.jpg

歡迎使用IP篩選器嚮導頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec14.jpg

IP篩選器描述和鏡像內容頁,輸入描述為From Web Proxy Client 192.168.0.8,然後點擊下一步
注意:下面有個鏡像的選項。對於使用IPSec加密保護通訊的IPSec篩選器,必須勾選此選項,這也是預定啟用的。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec15.jpg

IP通信源頁,你可以選擇的選項如下圖所示。如果你想針對內部網路中的所有Web代理客戶,你可以選擇一個特性的IP子網,然後輸入內部網路的子網位址即可,但是此時對應子網的所有Web代理客戶都必須部署對應的IPSec安全策略和IPSec證書;

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec16.jpg

在此我只是針對客戶192.168.0.8,所以選擇一個特定的IP位址,然後輸入IP位址192.168.0.8,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec17.jpg

IP通信目標頁,選擇我的IP位址,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec18.jpg

IP協議類型頁,選擇協議為TCP,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec19.jpg

IP協議連接阜頁,設置為從任意連接阜到目的連接阜8080,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec20.jpg

正在完成IP篩選器嚮導頁,點擊完成

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec21.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-09-13, 06:58 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

IP篩選器列表頁,點擊確定

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec22.jpg

IP篩選器列表頁,選擇剛才創建的With Web Proxy Clients,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec23.jpg

篩選器操作頁,根據你的需求來選擇。如果選擇請求安全(可選),那麼通訊時會先進行安全協商,如果協商失敗,同樣會允許不安全的通訊;如果選擇需要安全,那麼只允許安全協商成功後加密保護的通訊,不安全的通訊總是會被拒絕。在此我選擇需要安全,點擊編輯
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec52a.jpg

需要安全內容交談視窗,接受預定的選擇會話密鑰完全向前保密(PFS),只有這樣才能確保網路通訊的安全操作,點擊確定
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec52b.jpg

篩選器操作頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec24.jpg

身份驗證方法頁,選擇使用由此證書頒發機構(CA)頒發的證書,然後點擊瀏覽

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec25.jpg

在彈出的選擇證書交談視窗,選擇CA fengjianzi.vicp.net,點擊確定

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec26.jpg

身份驗證方法頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec27.jpg

正在完成安全規則嚮導頁,點擊完成

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec28.jpg




在IP安全策略Secure Web Proxy Clients內容交談視窗上,點擊確定

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec29.jpg

組策略編輯器交談視窗的IP安全策略節點,右擊右邊面板的IP安全策略Secure Web Proxy Clients,選擇指派

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec30.jpg

此時,在IP安全策略Secure Web Proxy Clients的圖示右下角出現了一個綠色的點,這表明此IP安全策略已經在應用了。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec31.jpg

此時,在ISA Server上的配置就成功完成了。
在客戶機192.168.0.8上(操作系統為Windows XP SP2),執行gpedit.msc打開組策略,依次展開電腦配置Windows設置安全設置,點擊IP安全策略,然後右擊右邊的空白處,選擇創建IP安全策略

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec32.jpg

在彈出的歡迎使用IP安全策略嚮導頁,點擊下一步
IP安全策略名稱頁,輸入名稱為Secure with 192.168.0.1 port 8080,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec34.jpg

安全通訊請求頁,取消勾選啟動預定響應規則,點擊下一步
正在完成IP安全策略嚮導頁,點擊完成
此時,彈出了剛才建立的IP安全策略的內容交談視窗,點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec37.jpg

在彈出的歡迎使用創建IP安全規則嚮導頁,點擊下一步
隧道終結點頁,接受預定的此規則不指定隧道,點擊下一步
網路類型頁,由於我們只是針對內部網路中的通訊,所以選擇局域網(LAN),點擊下一步
身份驗證方法頁,選擇使用由此證書頒發機構(CA)頒發的證書,然後點擊瀏覽,選擇CA fengjianzi.vicp.net,點擊確定,然後點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec42.jpg

IP篩選器列表頁,點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec43.jpg





在彈出的IP篩選器列表交談視窗,輸入名稱為to 192.168.0.1 port 8080,然後點擊新增

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec44.jpg

歡迎使用IP篩選器嚮導頁,點擊下一步
IP通信源頁,由於是此客戶發送資料到ISA Server(192.168.0.1)的8080連接阜,所以選擇我的IP位址,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec46.jpg

IP通信目標頁,選擇一個特定的IP位址,然後輸入IP位址192.168.0.1,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec47.jpg

IP協議類型頁,選擇協議為TCP,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec48.jpg

IP協議連接阜頁,設置為從任意連接阜到目的連接阜8080,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec49.jpg

正在完成IP篩選器嚮導頁,點擊完成
IP篩選器列表頁,點擊確定

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec51.jpg

IP篩選器列表頁,選擇剛才創建的to 192.168.0.1 port 8080,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec52.jpg

篩選器操作頁,選擇你需要的方式,但是必須和服務器上的配置一致。在此我同樣選擇需要安全,點擊編輯
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec52a.jpg

需要安全內容交談視窗,你的設置必須和服務器端的設置一致,接受預定的選擇會話密鑰完全向前保密(PFS),點擊確定
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec52b.jpg



篩選器操作頁,點擊下一步

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec53.jpg

正在完成安全規則精靈頁,點擊完成
在IP安全策略Secure with 192.168.0.1 port 8080內容交談視窗上,點擊確定

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec55.jpg

組策略交談視窗的IP安全策略節點,右擊右邊面板的IP安全策略Secure with 192.168.0.1 port 8080,選擇指派

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec56.jpg

此時,在IP安全策略Secure with 192.168.0.1 port 8080的圖示右下角出現了一個綠色的點,這表明此IP安全策略已經在成功應用了。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec57.jpg

現在當Web代理客戶192.168.0.8通過ISA Server(192.168.0.1)的Web代理服務訪問Internet時,Sniffer上嗅探到的只有通過IPSec加密保護保護的資料,如下圖所示。對於竊聽者來說,這些資料根本沒有任何的作用。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec58.jpg

如果在ISA Server服務器上使用IP安全監視器來檢視IPSec狀態,你可以在快速模式統計中看到當前的IPSec活動訊息。
http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec59.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-09-15, 04:03 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

設ip安全策略自己動手

工具:ipseccmd.exe(微軟自己的工具)
比如要禁止別人訪問你的1433UDP連接阜:則輸入命令:IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
檢視本機連接的連接阜請用netstat -an檢視。開了終端的(或雖沒開了終端的但在用戶表有終端用戶的)檢視有沒有隱藏的用戶請用regedt32打開設置sam權限,再打到註冊表看看sam。


有空也看看HKEY_LOCAL_MACHINE\SYSTEM有沒有RAdmin,設c盤權限為只有administrator(反正是你用的超級用戶)和system,把everyone,users,power users之類全部刪掉,有iis的新增個guest權限的用戶,設置密碼,在iis中設置匿名用戶為該用戶,對網站之外的目錄不可讀寫,這樣中了asp木馬也沒什麼大不了。


有ftp的用最新版的serv-u,5.2之前版本有本機權限提升漏洞,用sql資料庫的封1433連接阜,設sa口令,刪sql擴展刪存儲,刪xplog70.dllxpweb70.dll。


如果只開放21.80連接阜,網頁腳本都加入防注入,網咖主機的安全性問題應該不是很大。注意,這是用在服務器上的,別用在客戶機上。這是偶這幾天嘔心瀝血「測試」一台韓國服務器的總結。



補充:1、現在太多人玩上傳漏洞了,用網上asp程式的朋友,如果對自己代碼的安全性不太確認,就把所有的管理文件改名了,如admin_login.asp改這pc2009_login.asp,admin.asp改為mywebadmin.asp,login.asp改為my_login.asp之類的;在資料庫裡把admin,user,password表改名為自己網站專用的資料表名;如果自己上傳沒什麼用,就把什麼upload之類的文件上傳文件檔案給刪了,changepassword之類的如果沒用也全刪了!
如果還是不放心而對asp熟悉的朋友,可以建雙站,一個對外,全部用asp產生靜態html,網站只允許html;一個只允許自己的ip或內網使用,專用用來上傳,產生靜態html和自己管理維護用。iis和windows打修正檔就不用說了!另外ipc也關掉。


2、有開終端的朋友,改終端連接阜,要不天天被人掃很不舒服,懶的朋友也許會設自動登入,一定要禁止自動登入用戶及所有用戶的遠端終端,自己再建一個終端用戶維護用。如果有閒心思的朋友,可以用administrator用戶改名改掉,再建個沒有任何權限的administrator,密碼設複雜點,讓玩弱口令的的慢慢猜吧。



再建個用戶名用hacker$之類的,沒有任何權限,然後用system32目錄隨便複製dll文件到c盤或哪個比較顯眼的地方,改名為AdmDll.dll,raddrv.dll,盡量做得像是被黑過的樣子,要是哪個人真的入侵了你的電腦,經常會把hacker$給刪掉,因為搶雞太常出現了,入侵後就常常要獨自佔有。如果你發現hacker$用戶被刪了,一定要仔細的查了。



在sam中把guest,SUPPORT_388945a0等你沒用的帳號都刪掉,因為很多人都是選被禁用的guest來提升權限的,不是十分內行的人很難查出被禁用的guest已被提升為隱藏的超級管理員,在註冊表裡的F值和V值也很難辨別的,只有一個一個對比。如果在本機上用regedt32管理員沒有設置sam權限,而你又沒改過,或者如果在cmd下,net user而提示出現有錯誤,則極有可能被人入侵過了。



用psu啟動regedt32.exe進去檢視和修改。3、如果沒影響,修改常用連接阜,如ftp改為65012連接阜,web改為65011,radmin改為65013,終端連接阜改為65014(盡量設在65000之後,有些掃瞄器要手動輸入連接阜範圍的,很多人懶得記連接阜的確切範圍,就常常就隨便輸入60000,65000),這樣很多掃瞄器就會錯過了你,玩旁注或serv-u漏洞的朋友也會錯過了你。


蒼蠅不叮無縫的蛋的,如果別人不是要特地對付你,你又沒開常用及常見的連接阜,沒有人會花時間去猜你的連接阜的,哪怕只有二分鐘,網上有縫的蛋俯拾即是!

禁止被ping.bat (聲明,這個bat是是根據愛蟲ip安全策略和合工大網路中心安全應急響應組的安全策略改的)
--------------------------------------------------------------------------------
ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
--------------------------------------------------------------------------------
開網上的芳鄰.bat
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/135" -f *+0:135:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/139" -f *+0:139:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n PASS -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/135" -f *+0:135:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n PASS -x
禁sql連接阜.bat
--------------------------------------------------------------------------------
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
--------------------------------------------------------------------------------
禁危險連接阜.bat
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n BLOCK -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n BLOCK -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1068" -f *+0:1068:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5554" -f *+0:5554:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9995" -f *+0:9995:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9996" -f *+0:9996:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul
echo 關閉流行危險連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus Pro開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1092" -f *+0:1092:TCP -n BLOCK -x >nul
echo 關閉蠕蟲LoveGate開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3996" -f *+0:3996:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4060" -f *+0:4060:TCP -n BLOCK -x >nul
echo 關閉木馬RemoteAnything開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4590" -f *+0:4590:TCP -n BLOCK -x >nul
echo 關閉木馬ICQTrojan開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1080" -f *+0:1080:TCP -n BLOCK -x >nul
echo 禁止代理服務器掃瞄…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/113" -f *+0:113:TCP -n BLOCK -x >nul
echo 禁止Authentication Service服務…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/79" -f *+0:79:TCP -n BLOCK -x >nul
echo 禁止Finger掃瞄…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/53" -f *+0:53:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53" -f *+0:53:TCP -n BLOCK -x >nul
echo 禁止區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/707" -f *+0:707:TCP -n BLOCK -x >nul
echo 關閉nachi蠕蟲病毒監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/808" -f *+0:808:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23" -f *+0:23:TCP -n BLOCK -x >nul
echo 關閉Telnet 和木馬Tiny Telnet Server監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/520" -f *+0:520:TCP -n BLOCK -x >nul
echo 關閉Rip 連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x >nul
echo 關閉木馬程式BackDoor的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉馬程式黑洞2001的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬程式Ripper的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2583" -f *+0:2583:TCP -n BLOCK -x >nul
echo 關閉木馬程式Wincrash v2的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x >nul
echo 關閉Windows 的遠端管理終端(遠端桌面)監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4444" -f *+0:4444:TCP -n BLOCK -x >nul
echo 關閉msblast衝擊波蠕蟲監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4899" -f *+0:4899:TCP -n BLOCK -x >nul
echo 關閉遠端控制軟件(remote administrator)服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5800" -f *+0:5800:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5900" -f *+0:5900:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8888" -f *+0:8888:TCP -n BLOCK -x >nul
echo 關閉遠端控制軟件VNC的兩個預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nul
echo 關閉Dameware服務端預定監聽連接阜(可變!)…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6267" -f *+0:6267:TCP -n BLOCK -x >nul
echo 關閉木馬廣外女生的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/660" -f *+0:660:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat v1.0 - 3.1預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6671" -f *+0:6671:TCP -n BLOCK -x >nul
echo 關閉木馬Indoctrination預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6939" -f *+0:6939:TCP -n BLOCK -x >nul
echo 關閉木馬PRIORITY預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬網路精靈預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7511" -f *+0:7511:TCP -n BLOCK -x >nul
echo 關閉木馬聰明基因的預定連接連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7626" -f *+0:7626:TCP -n BLOCK -x >nul
echo 關閉木馬冰河預定連接阜(注意可變!)…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8011" -f *+0:8011:TCP -n BLOCK -x >nul
echo 關閉木馬WAY2.4預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9989" -f *+0:9989:TCP -n BLOCK -x >nul
echo 關閉木馬InIkiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/19191" -f *+0:19191:TCP -n BLOCK -x >nul
echo 關閉木馬蘭色火焰預定開放的telnet連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1029" -f *+0:1029:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20168" -f *+0:20168:TCP -n BLOCK -x >nul
echo 關閉lovegate 蠕蟲所開放的兩個後門連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23444" -f *+0:23444:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/27374" -f *+0:27374:TCP -n BLOCK -x >nul
echo 關閉木馬SUB7預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nul
echo 關閉木馬NetSphere預定的服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31337" -f *+0:31337:TCP -n BLOCK -x >nul
echo 關閉木馬BO2000預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/45576" -f *+0:45576:TCP -n BLOCK -x >nul
echo 關閉代理軟件的控制連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Schwindler預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31338" -f *+0:31338:TCP -n BLOCK -x >nul
echo 關閉木馬Back Orifice預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8102" -f *+0:8102:TCP -n BLOCK -x >nul
echo 關閉木馬網路神偷預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2000" -f *+0:2000:TCP -n BLOCK -x >nul
echo 關閉木馬黑洞2000預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31339" -f *+0:31339:TCP -n BLOCK -x >nul
echo 關閉木馬NetSpy DK預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉木馬黑洞2001預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31666" -f *+0:31666:TCP -n BLOCK -x >nul
echo 關閉木馬BOWhack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/34324" -f *+0:34324:TCP -n BLOCK -x >nul
echo 關閉木馬BigGluck預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬網路精靈3.0,netspy3.0預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40412" -f *+0:40412:TCP -n BLOCK -x >nul
echo 關閉木馬The Spy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40421" -f *+0:40421:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8011" -f *+0:8011:TCP -n BLOCK -x >nul
echo 關閉木馬wry,賴小子,火**預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40422" -f *+0:40422:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23444" -f *+0:23444:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛,netbull預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40423" -f *+0:40423:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23445" -f *+0:23445:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛,netbull預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40426" -f *+0:40426:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 3.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50505" -f *+0:50505:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/27374" -f *+0:27374:TCP -n BLOCK -x >nul
echo 關閉木馬Sub Seven 2.0+,77,東方魔眼預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Fore預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53001" -f *+0:53001:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Windows Shutdown預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/121" -f *+0:121:TCP -n BLOCK -x >nul
echo 關閉木馬BO jammerkillahV預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/666" -f *+0:666:TCP -n BLOCK -x >nul
echo 關閉木馬Satanz Backdoor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/65000" -f *+0:65000:TCP -n BLOCK -x >nul
echo 關閉木馬Devil預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬Silencer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6400" -f *+0:6400:TCP -n BLOCK -x >nul
echo 關閉木馬The tHing預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1600" -f *+0:1600:TCP -n BLOCK -x >nul
echo 關閉木馬Shivka-Burka預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/12346" -f *+0:12346:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1807" -f *+0:1807:TCP -n BLOCK -x >nul
echo 關閉木馬SpySender預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus Pro預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1981" -f *+0:1981:TCP -n BLOCK -x >nul
echo 關閉木馬Shockrave預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1243" -f *+0:1243:TCP -n BLOCK -x >nul
echo 關閉木馬SubSeven預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬WebEx預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nul
echo 關閉木馬NetSphere預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1011" -f *+0:1011:TCP -n BLOCK -x >nul
echo 關閉木馬Doly Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬Silencer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1170" -f *+0:1170:TCP -n BLOCK -x >nul
echo 關閉木馬Psyber Stream Server預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20000" -f *+0:20000:TCP -n BLOCK -x >nul
echo 關閉木馬Millenium預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1234" -f *+0:1234:TCP -n BLOCK -x >nul
echo 關閉木馬Ultors Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/65000" -f *+0:65000:TCP -n BLOCK -x >nul
echo 關閉木馬Devil 1.03預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1245" -f *+0:1245:TCP -n BLOCK -x >nul
echo 關閉木馬VooDoo Doll預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1492" -f *+0:1492:TCP -n BLOCK -x >nul
echo 關閉木馬FTP99CMP預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1170" -f *+0:1170:TCP -n BLOCK -x >nul
echo 關閉木馬Streaming Audio Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x >nul
echo 關閉木馬BackDoor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30303" -f *+0:30303:TCP -n BLOCK -x >nul
echo 關閉木馬Socket23預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉木馬Trojan Cow預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬Gatecrasher預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬Ripper預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2115" -f *+0:2115:TCP -n BLOCK -x >nul
echo 關閉木馬Bugs預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/12076" -f *+0:12076:TCP -n BLOCK -x >nul
echo 關閉木馬Gjamer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2140" -f *+0:2140:TCP -n BLOCK -x >nul
echo 關閉木馬Deep Throat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4950" -f *+0:4950:TCP -n BLOCK -x >nul
echo 關閉木馬IcqTrojen預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2140" -f *+0:2140:TCP -n BLOCK -x >nul
echo 關閉木馬The Invasor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/16969" -f *+0:16969:TCP -n BLOCK -x >nul
echo 關閉木馬Priotrity預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2801" -f *+0:2801:TCP -n BLOCK -x >nul
echo 關閉木馬Phineas Phucker預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1245" -f *+0:1245:TCP -n BLOCK -x >nul
echo 關閉木馬Vodoo預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30129" -f *+0:30129:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5742" -f *+0:5742:TCP -n BLOCK -x >nul
echo 關閉木馬Wincrash預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3700" -f *+0:3700:TCP -n BLOCK -x >nul
echo 關閉木馬Portal of Doom預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2583" -f *+0:2583:TCP -n BLOCK -x >nul
echo 關閉木馬Wincrash2預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4092" -f *+0:4092:TCP -n BLOCK -x >nul
echo 關閉木馬WinCrash預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1033" -f *+0:1033:TCP -n BLOCK -x >nul
echo 關閉木馬Netspy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4590" -f *+0:4590:TCP -n BLOCK -x >nul
echo 關閉木馬ICQTrojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1981" -f *+0:1981:TCP -n BLOCK -x >nul
echo 關閉木馬ShockRave預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5000" -f *+0:5000:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/555" -f *+0:555:TCP -n BLOCK -x >nul
echo 關閉木馬Stealth Spy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5001" -f *+0:5001:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬Pass Ripper預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5321" -f *+0:5321:TCP -n BLOCK -x >nul
echo 關閉木馬Firehotcker預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/666" -f *+0:666:TCP -n BLOCK -x >nul
echo 關閉木馬Attack FTP預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5400" -f *+0:5400:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/21554" -f *+0:21554:TCP -n BLOCK -x >nul
echo 關閉木馬GirlFriend預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5401" -f *+0:5401:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Fore Schwindler預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5402" -f *+0:5402:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/34324" -f *+0:34324:TCP -n BLOCK -x >nul
echo 關閉木馬Tiny Telnet Server預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5569" -f *+0:5569:TCP -n BLOCK -x >nul
echo 關閉木馬Robo-Hack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30999" -f *+0:30999:TCP -n BLOCK -x >nul
echo 關閉木馬Kuang預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6670" -f *+0:6670:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/11000" -f *+0:11000:TCP -n BLOCK -x >nul
echo 關閉木馬Senna Spy Trojans預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6771" -f *+0:6771:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23456" -f *+0:23456:TCP -n BLOCK -x >nul
echo 關閉木馬WhackJob預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬GateCrasher預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/555" -f *+0:555:TCP -n BLOCK -x >nul
echo 關閉木馬Phase0預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬Priority預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5400" -f *+0:5400:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7000" -f *+0:7000:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Grab預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4950" -f *+0:4950:TCP -n BLOCK -x >nul
echo 關閉木馬IcqTrojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7300" -f *+0:7300:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9989" -f *+0:9989:TCP -n BLOCK -x >nul
echo 關閉木馬InIkiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7301" -f *+0:7301:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9872" -f *+0:9872:TCP -n BLOCK -x >nul
echo 關閉木馬Portal Of Doom預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/11223" -f *+0:11223:TCP -n BLOCK -x >nul
echo 關閉木馬Progenic Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7307" -f *+0:7307:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 3.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/22222" -f *+0:22222:TCP -n BLOCK -x >nul
echo 關閉木馬Prosiak 0.47預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7308" -f *+0:7308:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 4.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53001" -f *+0:53001:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Windows Shutdown預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7789" -f *+0:7789:TCP -n BLOCK -x >nul
echo 關閉木馬ICKiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5569" -f *+0:5569:TCP -n BLOCK -x >nul
echo 關閉木馬RoboHack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9872" -f *+0:9872:TCP -n BLOCK -x >nul
echo 關閉木馬Portal of Doom預定服務連接阜…………OK!
用2000的用ipsecpol,這個與IPSeccmd大同小異。
附上微軟的說明書
創建用於阻止通信的靜態策略
基於 Windows Server 2003 和 Windows XP 的電腦
對於沒有啟用本機定義的 IPSec 策略的系統,請創建一個新的本機靜態策略,以阻止定向到 Windows Server 2003 和 Windows XP 電腦上的特定協議和特定連接阜的通信。



為此,請按照下列步驟操作:1. 驗證 IPSec Policy Agent 服務已在「服務 MMC」管理單元中啟用並啟動。

2. 安裝 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。


注意:IPSeccmd.exe 將在 Windows XP 和 Windows Server 2003 操作系統中執行,但僅有 Windows XP SP2 支持工具包中提供此工具。


有關下載和安裝 Windows XP Service Pack 2 支持工具的其他訊息,請單擊下面的文章編號,以檢視 Microsoft 知識庫中相應的文章:

838079 Windows XP Service Pack 2 支持工具
3. 打開命令提示字元視窗,然後將工作資料夾設置為安裝 Windows XP Service Pack 2 支持工具的資料夾。



注意:Windows XP SP2 支持工具的預定資料夾是 C:\Program Files\Support Tools。
4. 要創建一個新的本機 IPSec 策略和篩選規則,並將其應用於從任何 IP 位址發送到您要配置的 Windows Server 2003 或 Windows XP 電腦的 IP 位址的網路通信,請使用以下命令。



注意:在以下命令中,Protocol 和 PortNumber 是變數。
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
例如,要阻止從任何 IP 位址和任何源連接阜發往 Windows Server 2003 或 Windows XP 電腦上的目標連接阜 UDP 1434 的網路通信,請鍵入以下命令。此策略可以有效地保護執行 Microsoft SQL Server 2000 的電腦免遭「Slammer」蠕蟲的攻擊。



IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
以下示例可阻止對 TCP 連接阜 80 的入站訪問,但是仍然允許出站 TCP 80 訪問。此策略可以有效地保護執行 Microsoft Internet 訊息服務 (IIS) 5.0 的電腦免遭「Code Red」蠕蟲和「Nimda」蠕蟲的攻擊。


IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
注意:-x 開關會立即指定該策略。如果您輸入此命令,將取消指定「Block UDP 1434 Filter」策略,並指定「Block TCP 80 Filter」。


要新增但不指定該策略,則在鍵入該命令時不要在結尾帶 -x 開關。


5. 要向現有的「Block UDP 1434 Filter」策略(阻止從基於 Windows Server 2003 或 Windows XP 的電腦發往任何 IP 位址的網路通信)新增其他篩選規則,請使用以下命令。
注意:在此命令中,Protocol 和 PortNumber 是變數:

IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
例如,要阻止從基於 Windows Server 2003 或 Windows XP 的電腦發往任何其他主機上的 UDP 1434 的任何網路通信,請鍵入以下命令。此策略可以有效地阻止執行 SQL Server 2000 的電腦傳播「Slammer」蠕蟲。



IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中新增任意數量的篩選規則。例如,可以使用此命令通過同一策略阻止多個連接阜。
6. 步驟 5 中的策略現在將生效,並且在每次重新啟動電腦後都會生效。但是,如果以後為電腦指定了基於域的 IPSec 策略,此本機策略將被覆蓋並將不再適用。
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-09-15, 04:07 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

工具:ipseccmd.exe(微軟自己的工具)

比如要禁止別人訪問你的1433UDP連接阜:則輸入命令:IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
檢視本機連接的連接阜請用netstat -an檢視。


開了終端的(或雖沒開了終端的但在用戶表有終端用戶的)檢視有沒有隱藏的用戶請用regedt32打開設置sam權限,再打到註冊表看看sam。


有空也看看HKEY_LOCAL_MACHINE\SYSTEM有沒有RAdmin,設c盤權限為只有administrator(反正是你用的超級用戶)和system,把everyone,users,power users之類全部刪掉,有iis的新增個guest權限的用戶,設置密碼,在iis中設置匿名用戶為該用戶,對網站之外的目錄不可讀寫,這樣中了asp木馬也沒什麼大不了。


有ftp的用最新版的serv-u,5.2之前版本有本機權限提升漏洞,用sql資料庫的封1433連接阜,設sa口令,刪sql擴展刪存儲,刪xplog70.dllxpweb70.dll。

如果只開放21.80連接阜,網頁腳本都加入防注入,網咖主機的安全性問題應該不是很大。注意,這是用在服務器上的,別用在客戶機上。這是偶這幾天嘔心瀝血「測試」一台韓國服務器的總結。


補充:1、現在太多人玩上傳漏洞了,用網上asp程式的朋友,如果對自己代碼的安全性不太確認,就把所有的管理文件改名了,如admin_login.asp改這pc2009_login.asp,admin.asp改為mywebadmin.asp,login.asp改為my_login.asp之類的;在資料庫裡把admin,user,password表改名為自己網站專用的資料表名;如果自己上傳沒什麼用,就把什麼upload之類的文件上傳文件檔案給刪了,changepassword之類的如果沒用也全刪了!
如果還是不放心而對asp熟悉的朋友,可以建雙站,一個對外,全部用asp產生靜態html,網站只允許html;一個只允許自己的ip或內網使用,專用用來上傳,產生靜態html和自己管理維護用。iis和windows打修正檔就不用說了!另外ipc也關掉。

2、有開終端的朋友,改終端連接阜,要不天天被人掃很不舒服,懶的朋友也許會設自動登入,一定要禁止自動登入用戶及所有用戶的遠端終端,自己再建一個終端用戶維護用。如果有閒心思的朋友,可以用administrator用戶改名改掉,再建個沒有任何權限的administrator,密碼設複雜點,讓玩弱口令的的慢慢猜吧。


再建個用戶名用hacker$之類的,沒有任何權限,然後用system32目錄隨便複製dll文件到c盤或哪個比較顯眼的地方,改名為AdmDll.dll,raddrv.dll,盡量做得像是被黑過的樣子,要是哪個人真的入侵了你的電腦,經常會把hacker$給刪掉,因為搶雞太常出現了,入侵後就常常要獨自佔有。如果你發現hacker$用戶被刪了,一定要仔細的查了。


在sam中把guest,SUPPORT_388945a0等你沒用的帳號都刪掉,因為很多人都是選被禁用的guest來提升權限的,不是十分內行的人很難查出被禁用的guest已被提升為隱藏的超級管理員,在註冊表裡的F值和V值也很難辨別的,只有一個一個對比。


如果在本機上用regedt32管理員沒有設置sam權限,而你又沒改過,或者如果在cmd下,net user而提示出現有錯誤,則極有可能被人入侵過了。用psu啟動regedt32.exe進去檢視和修改。



3、如果沒影響,修改常用連接阜,如ftp改為65012連接阜,web改為65011,radmin改為65013,終端連接阜改為65014(盡量設在65000之後,有些掃瞄器要手動輸入連接阜範圍的,很多人懶得記連接阜的確切範圍,就常常就隨便輸入60000,65000),這樣很多掃瞄器就會錯過了你,玩旁注或serv-u漏洞的朋友也會錯過了你。


蒼蠅不叮無縫的蛋的,如果別人不是要特地對付你,你又沒開常用及常見的連接阜,沒有人會花時間去猜你的連接阜的,哪怕只有二分鐘,網上有縫的蛋俯拾即是!


禁止被ping.bat (聲明,這個bat是是根據愛蟲ip安全策略和合工大網路中心安全應急響應組的安全策略改的)
--------------------------------------------------------------------------------
ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
--------------------------------------------------------------------------------
開網上的芳鄰.bat
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/135" -f *+0:135:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/139" -f *+0:139:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n PASS -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/135" -f *+0:135:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n PASS -x
禁sql連接阜.bat
--------------------------------------------------------------------------------
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
--------------------------------------------------------------------------------
禁危險連接阜.bat
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n BLOCK -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n BLOCK -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1068" -f *+0:1068:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5554" -f *+0:5554:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9995" -f *+0:9995:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9996" -f *+0:9996:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x >nul
echo 關閉流行危險連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus Pro開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1092" -f *+0:1092:TCP -n BLOCK -x >nul
echo 關閉蠕蟲LoveGate開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3996" -f *+0:3996:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4060" -f *+0:4060:TCP -n BLOCK -x >nul
echo 關閉木馬RemoteAnything開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4590" -f *+0:4590:TCP -n BLOCK -x >nul
echo 關閉木馬ICQTrojan開放的連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1080" -f *+0:1080:TCP -n BLOCK -x >nul
echo 禁止代理服務器掃瞄…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/113" -f *+0:113:TCP -n BLOCK -x >nul
echo 禁止Authentication Service服務…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/79" -f *+0:79:TCP -n BLOCK -x >nul
echo 禁止Finger掃瞄…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/53" -f *+0:53:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53" -f *+0:53:TCP -n BLOCK -x >nul
echo 禁止區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/707" -f *+0:707:TCP -n BLOCK -x >nul
echo 關閉nachi蠕蟲病毒監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/808" -f *+0:808:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23" -f *+0:23:TCP -n BLOCK -x >nul
echo 關閉Telnet 和木馬Tiny Telnet Server監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/520" -f *+0:520:TCP -n BLOCK -x >nul
echo 關閉Rip 連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x >nul
echo 關閉木馬程式BackDoor的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉馬程式黑洞2001的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬程式Ripper的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2583" -f *+0:2583:TCP -n BLOCK -x >nul
echo 關閉木馬程式Wincrash v2的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n BLOCK -x >nul
echo 關閉Windows 的遠端管理終端(遠端桌面)監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4444" -f *+0:4444:TCP -n BLOCK -x >nul
echo 關閉msblast衝擊波蠕蟲監聽連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4899" -f *+0:4899:TCP -n BLOCK -x >nul
echo 關閉遠端控制軟件(remote administrator)服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5800" -f *+0:5800:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5900" -f *+0:5900:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8888" -f *+0:8888:TCP -n BLOCK -x >nul
echo 關閉遠端控制軟件VNC的兩個預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nul
echo 關閉Dameware服務端預定監聽連接阜(可變!)…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6267" -f *+0:6267:TCP -n BLOCK -x >nul
echo 關閉木馬廣外女生的預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/660" -f *+0:660:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat v1.0 - 3.1預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6671" -f *+0:6671:TCP -n BLOCK -x >nul
echo 關閉木馬Indoctrination預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6939" -f *+0:6939:TCP -n BLOCK -x >nul
echo 關閉木馬PRIORITY預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬網路精靈預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7511" -f *+0:7511:TCP -n BLOCK -x >nul
echo 關閉木馬聰明基因的預定連接連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7626" -f *+0:7626:TCP -n BLOCK -x >nul
echo 關閉木馬冰河預定連接阜(注意可變!)…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8011" -f *+0:8011:TCP -n BLOCK -x >nul
echo 關閉木馬WAY2.4預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9989" -f *+0:9989:TCP -n BLOCK -x >nul
echo 關閉木馬InIkiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/19191" -f *+0:19191:TCP -n BLOCK -x >nul
echo 關閉木馬蘭色火焰預定開放的telnet連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1029" -f *+0:1029:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20168" -f *+0:20168:TCP -n BLOCK -x >nul
echo 關閉lovegate 蠕蟲所開放的兩個後門連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23444" -f *+0:23444:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/27374" -f *+0:27374:TCP -n BLOCK -x >nul
echo 關閉木馬SUB7預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nul
echo 關閉木馬NetSphere預定的服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31337" -f *+0:31337:TCP -n BLOCK -x >nul
echo 關閉木馬BO2000預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/45576" -f *+0:45576:TCP -n BLOCK -x >nul
echo 關閉代理軟件的控制連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Schwindler預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31338" -f *+0:31338:TCP -n BLOCK -x >nul
echo 關閉木馬Back Orifice預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8102" -f *+0:8102:TCP -n BLOCK -x >nul
echo 關閉木馬網路神偷預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2000" -f *+0:2000:TCP -n BLOCK -x >nul
echo 關閉木馬黑洞2000預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31339" -f *+0:31339:TCP -n BLOCK -x >nul
echo 關閉木馬NetSpy DK預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉木馬黑洞2001預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/31666" -f *+0:31666:TCP -n BLOCK -x >nul
echo 關閉木馬BOWhack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/34324" -f *+0:34324:TCP -n BLOCK -x >nul
echo 關閉木馬BigGluck預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬網路精靈3.0,netspy3.0預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40412" -f *+0:40412:TCP -n BLOCK -x >nul
echo 關閉木馬The Spy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40421" -f *+0:40421:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/8011" -f *+0:8011:TCP -n BLOCK -x >nul
echo 關閉木馬wry,賴小子,火**預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40422" -f *+0:40422:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23444" -f *+0:23444:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛,netbull預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40423" -f *+0:40423:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23445" -f *+0:23445:TCP -n BLOCK -x >nul
echo 關閉木馬網路公牛,netbull預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/40426" -f *+0:40426:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise 3.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50505" -f *+0:50505:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/27374" -f *+0:27374:TCP -n BLOCK -x >nul
echo 關閉木馬Sub Seven 2.0+,77,東方魔眼預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Fore預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53001" -f *+0:53001:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Windows Shutdown預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/121" -f *+0:121:TCP -n BLOCK -x >nul
echo 關閉木馬BO jammerkillahV預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/666" -f *+0:666:TCP -n BLOCK -x >nul
echo 關閉木馬Satanz Backdoor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/65000" -f *+0:65000:TCP -n BLOCK -x >nul
echo 關閉木馬Devil預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬Silencer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6400" -f *+0:6400:TCP -n BLOCK -x >nul
echo 關閉木馬The tHing預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1600" -f *+0:1600:TCP -n BLOCK -x >nul
echo 關閉木馬Shivka-Burka預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/12346" -f *+0:12346:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1807" -f *+0:1807:TCP -n BLOCK -x >nul
echo 關閉木馬SpySender預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20034" -f *+0:20034:TCP -n BLOCK -x >nul
echo 關閉木馬NetBus Pro預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1981" -f *+0:1981:TCP -n BLOCK -x >nul
echo 關閉木馬Shockrave預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1243" -f *+0:1243:TCP -n BLOCK -x >nul
echo 關閉木馬SubSeven預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬WebEx預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30100" -f *+0:30100:TCP -n BLOCK -x >nul
echo 關閉木馬NetSphere預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1011" -f *+0:1011:TCP -n BLOCK -x >nul
echo 關閉木馬Doly Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1001" -f *+0:1001:TCP -n BLOCK -x >nul
echo 關閉木馬Silencer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1170" -f *+0:1170:TCP -n BLOCK -x >nul
echo 關閉木馬Psyber Stream Server預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/20000" -f *+0:20000:TCP -n BLOCK -x >nul
echo 關閉木馬Millenium預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1234" -f *+0:1234:TCP -n BLOCK -x >nul
echo 關閉木馬Ultors Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/65000" -f *+0:65000:TCP -n BLOCK -x >nul
echo 關閉木馬Devil 1.03預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1245" -f *+0:1245:TCP -n BLOCK -x >nul
echo 關閉木馬VooDoo Doll預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1492" -f *+0:1492:TCP -n BLOCK -x >nul
echo 關閉木馬FTP99CMP預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1170" -f *+0:1170:TCP -n BLOCK -x >nul
echo 關閉木馬Streaming Audio Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x >nul
echo 關閉木馬BackDoor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30303" -f *+0:30303:TCP -n BLOCK -x >nul
echo 關閉木馬Socket23預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2001" -f *+0:2001:TCP -n BLOCK -x >nul
echo 關閉木馬Trojan Cow預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬Gatecrasher預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬Ripper預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/61466" -f *+0:61466:TCP -n BLOCK -x >nul
echo 關閉木馬Telecommando預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2115" -f *+0:2115:TCP -n BLOCK -x >nul
echo 關閉木馬Bugs預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/12076" -f *+0:12076:TCP -n BLOCK -x >nul
echo 關閉木馬Gjamer預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2140" -f *+0:2140:TCP -n BLOCK -x >nul
echo 關閉木馬Deep Throat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4950" -f *+0:4950:TCP -n BLOCK -x >nul
echo 關閉木馬IcqTrojen預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2140" -f *+0:2140:TCP -n BLOCK -x >nul
echo 關閉木馬The Invasor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/16969" -f *+0:16969:TCP -n BLOCK -x >nul
echo 關閉木馬Priotrity預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2801" -f *+0:2801:TCP -n BLOCK -x >nul
echo 關閉木馬Phineas Phucker預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1245" -f *+0:1245:TCP -n BLOCK -x >nul
echo 關閉木馬Vodoo預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30129" -f *+0:30129:TCP -n BLOCK -x >nul
echo 關閉木馬Masters Paradise預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5742" -f *+0:5742:TCP -n BLOCK -x >nul
echo 關閉木馬Wincrash預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3700" -f *+0:3700:TCP -n BLOCK -x >nul
echo 關閉木馬Portal of Doom預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2583" -f *+0:2583:TCP -n BLOCK -x >nul
echo 關閉木馬Wincrash2預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4092" -f *+0:4092:TCP -n BLOCK -x >nul
echo 關閉木馬WinCrash預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1033" -f *+0:1033:TCP -n BLOCK -x >nul
echo 關閉木馬Netspy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4590" -f *+0:4590:TCP -n BLOCK -x >nul
echo 關閉木馬ICQTrojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1981" -f *+0:1981:TCP -n BLOCK -x >nul
echo 關閉木馬ShockRave預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5000" -f *+0:5000:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/555" -f *+0:555:TCP -n BLOCK -x >nul
echo 關閉木馬Stealth Spy預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5001" -f *+0:5001:TCP -n BLOCK -x >nul
echo 關閉木馬Sockets de Troie 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/2023" -f *+0:2023:TCP -n BLOCK -x >nul
echo 關閉木馬Pass Ripper預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5321" -f *+0:5321:TCP -n BLOCK -x >nul
echo 關閉木馬Firehotcker預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/666" -f *+0:666:TCP -n BLOCK -x >nul
echo 關閉木馬Attack FTP預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5400" -f *+0:5400:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/21554" -f *+0:21554:TCP -n BLOCK -x >nul
echo 關閉木馬GirlFriend預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5401" -f *+0:5401:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/50766" -f *+0:50766:TCP -n BLOCK -x >nul
echo 關閉木馬Fore Schwindler預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5402" -f *+0:5402:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/34324" -f *+0:34324:TCP -n BLOCK -x >nul
echo 關閉木馬Tiny Telnet Server預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5569" -f *+0:5569:TCP -n BLOCK -x >nul
echo 關閉木馬Robo-Hack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/30999" -f *+0:30999:TCP -n BLOCK -x >nul
echo 關閉木馬Kuang預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6670" -f *+0:6670:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/11000" -f *+0:11000:TCP -n BLOCK -x >nul
echo 關閉木馬Senna Spy Trojans預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6771" -f *+0:6771:TCP -n BLOCK -x >nul
echo 關閉木馬DeepThroat預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/23456" -f *+0:23456:TCP -n BLOCK -x >nul
echo 關閉木馬WhackJob預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬GateCrasher預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/555" -f *+0:555:TCP -n BLOCK -x >nul
echo 關閉木馬Phase0預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/6969" -f *+0:6969:TCP -n BLOCK -x >nul
echo 關閉木馬Priority預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5400" -f *+0:5400:TCP -n BLOCK -x >nul
echo 關閉木馬Blade Runner預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7000" -f *+0:7000:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Grab預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/4950" -f *+0:4950:TCP -n BLOCK -x >nul
echo 關閉木馬IcqTrojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7300" -f *+0:7300:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9989" -f *+0:9989:TCP -n BLOCK -x >nul
echo 關閉木馬InIkiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7301" -f *+0:7301:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 1.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9872" -f *+0:9872:TCP -n BLOCK -x >nul
echo 關閉木馬Portal Of Doom預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7306" -f *+0:7306:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 2.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/11223" -f *+0:11223:TCP -n BLOCK -x >nul
echo 關閉木馬Progenic Trojan預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7307" -f *+0:7307:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 3.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/22222" -f *+0:22222:TCP -n BLOCK -x >nul
echo 關閉木馬Prosiak 0.47預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7308" -f *+0:7308:TCP -n BLOCK -x >nul
echo 關閉木馬NetMonitor 4.x預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/53001" -f *+0:53001:TCP -n BLOCK -x >nul
echo 關閉木馬Remote Windows Shutdown預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/7789" -f *+0:7789:TCP -n BLOCK -x >nul
echo 關閉木馬ICKiller預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5569" -f *+0:5569:TCP -n BLOCK -x >nul
echo 關閉木馬RoboHack預定服務連接阜…………OK!
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9872" -f *+0:9872:TCP -n BLOCK -x >nul
echo 關閉木馬Portal of Doom預定服務連接阜…………OK!
用2000的用ipsecpol,這個與IPSeccmd大同小異。

附上微軟的說明書
創建用於阻止通信的靜態策略
基於 Windows Server 2003 和 Windows XP 的電腦
對於沒有啟用本機定義的 IPSec 策略的系統,請創建一個新的本機靜態策略,以阻止定向到 Windows Server 2003 和 Windows XP 電腦上的特定協議和特定連接阜的通信。


為此,請按照下列步驟操作:1. 驗證 IPSec Policy Agent 服務已在「服務 MMC」管理單元中啟用並啟動。


2. 安裝 IPSeccmd.exe。IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支持工具的一部分。


注意:IPSeccmd.exe 將在 Windows XP 和 Windows Server 2003 操作系統中執行,但僅有 Windows XP SP2 支持工具包中提供此工具。


有關下載和安裝 Windows XP Service Pack 2 支持工具的其他訊息,請單擊下面的文章編號,以檢視 Microsoft 知識庫中相應的文章:


838079 Windows XP Service Pack 2 支持工具
3. 打開命令提示字元視窗,然後將工作資料夾設置為安裝 Windows XP Service Pack 2 支持工具的資料夾。


注意:Windows XP SP2 支持工具的預定資料夾是 C:\Program Files\Support Tools。


4. 要創建一個新的本機 IPSec 策略和篩選規則,並將其應用於從任何 IP 位址發送到您要配置的 Windows Server 2003 或 Windows XP 電腦的 IP 位址的網路通信,請使用以下命令。


注意:在以下命令中,Protocol 和 PortNumber 是變數。



IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
例如,要阻止從任何 IP 位址和任何源連接阜發往 Windows Server 2003 或 Windows XP 電腦上的目標連接阜 UDP 1434 的網路通信,請鍵入以下命令。


此策略可以有效地保護執行 Microsoft SQL Server 2000 的電腦免遭「Slammer」蠕蟲的攻擊。


IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
以下示例可阻止對 TCP 連接阜 80 的入站訪問,但是仍然允許出站 TCP 80 訪問。此策略可以有效地保護執行 Microsoft Internet 訊息服務 (IIS) 5.0 的電腦免遭「Code Red」蠕蟲和「Nimda」蠕蟲的攻擊。


IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
注意:-x 開關會立即指定該策略。如果您輸入此命令,將取消指定「Block UDP 1434 Filter」策略,並指定「Block TCP 80 Filter」。


要新增但不指定該策略,則在鍵入該命令時不要在結尾帶 -x 開關。



5. 要向現有的「Block UDP 1434 Filter」策略(阻止從基於 Windows Server 2003 或 Windows XP 的電腦發往任何 IP 位址的網路通信)新增其他篩選規則,請使用以下命令。


注意:在此命令中,Protocol 和 PortNumber 是變數:


IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
例如,要阻止從基於 Windows Server 2003 或 Windows XP 的電腦發往任何其他主機上的 UDP 1434 的任何網路通信,請鍵入以下命令。此策略可以有效地阻止執行 SQL Server 2000 的電腦傳播「Slammer」蠕蟲。



IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
注意:您可以使用此命令向策略中新增任意數量的篩選規則。


例如,可以使用此命令通過同一策略阻止多個連接阜。


6. 步驟 5 中的策略現在將生效,並且在每次重新啟動電腦後都會生效。


但是,如果以後為電腦指定了基於域的 IPSec 策略,此本機策略將被覆蓋並將不再適用。
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
教學 - 運用命令指令行寫IPSec(winodws OS ) psac 網路軟硬體架設技術文件 3 2006-09-19 10:07 AM
DirectShow實踐經驗雜談 psac 多媒體影音轉檔燒錄技術文件 1 2004-02-21 10:09 AM
通過防火牆進行 Active Directory 複製 psac 應用軟體使用技術文件 0 2004-01-05 04:55 PM
教你如何利用Windows自身的IPsec和Firewall功能。功能比網路內容中的TCP/IP Filter強 psac 網路軟硬體架設技術文件 0 2003-12-28 11:37 PM


所有時間均為台北時間。現在的時間是 02:40 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1