win2003服务器通过ipsec做防火墙的配置方法_win服务器

windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制
在windows2003下是可以通过命令 netsh ipsec进行操作
命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx

1、删除所有安全策略
netsh ipsec static del all

2、建立策略test
netsh ipsec static add policy name=test

3、建立一个筛选器操作,可以理解为动作,匹配规则后执行的操作,类似Linux的iptables中的ACCEPT和DROP
建立拒绝操作
netsh ipsec static add filteraction name=block action=block
建立接受操作
netsh ipsec static add filteraction name=permit action=permit

4、添加筛选器列表,用于拒绝操作,类似iptables的默认规则
netsh ipsec static add filterlist name=deny_all
添加筛选器,拒绝所有的连接
netsh ipsec static add filter filterlist=deny_all srcaddr=Any dstaddr=Me

5、将创建的拒绝所有请求的筛选器和筛选器操作添加到策略test
netsh ipsec static add rule name=deny_all policy=test filterlist=deny_all filteraction=block

6、建立服务器本身对外访问的策略

建立筛选器列表server_access
netsh ipsec static add filterlist name=server_access

在筛选器列表server_access中添加一个筛选器,允许本机的任意端口到任意地址的,协议端口根据需要自己添加
netsh ipsec static add filter filterlist=server_access srcaddr=Me dstaddr=any protocol=tcp dstport=80

在策略test中应用筛选器server_access,并且对匹配筛选器的数据包执行允许操作
netsh ipsec static add rule name=server_access policy=test filterlist=server_access filteraction=permit

7、建立web服务器访问策略

建立筛选器列表web
netsh ipsec static add filterlist name=web

在筛选器列表web上添加筛选器,允许外部任意地址对本机的80端口的访问
netsh ipsec static add filter filterlist=web srcaddr=any dstaddr=Me dstport=80

在策略test中应用筛选器列表web
netsh ipsec static add rule name=web policy=test filterlist=web filteraction=permit

8、建立ftp服务器访问策略

netsh ipsec static add filterlist name=ftp
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=21

为ftp服务器添加被动端口,这里这添加三个作为测试
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65530
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65531
netsh ipsec static add filter filterlist=ftp srcaddr=any dstaddr=Me dstport=65532
netsh ipsec static add rule name=ftp policy=test filterlist=ftp fileraction=permit

时间: 2025-01-25 06:46:59

win2003服务器通过ipsec做防火墙的配置方法_win服务器的相关文章

win2003下 iis+php快速稳定的配置方法_win服务器

这里小编根据我们这么长时间的经验,特别分享下windows 2003系统下iis+php的配置方法,简单易用,而且还稳定. 第一步: 下载这个软件就可以了 星外PHP5.2.17自动配置安装包 快捷配置iis php运行环境,这个是星外发布的对于没有对iis配置过php环境的朋友使用,这个版本是安装在c盘的,使用液不会受到影响,默认开启了很多扩展,基本上是php 5.2.*系列中比较稳定的版本了. 根据我们几十台服务器的安全测试,绝对是没有问题的. 第二步:解压后直接安装就可以了,默认下就支持p

IIS7.5 UrlScan3.1应用防火墙安装配置方法_win服务器

URLScan是一个IIS下的ISAPI 筛选器,它能够限制服务器将要处理的HTTP请求的类型.通过阻止特定的 HTTP 请求,URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害,URLScan可用于IIS7.5.IIS7.IIS6. IIS7.5下需先安装IIS6元数据兼容性,官网下载:http://www.iis.net/download/urlscan URLScan配置文件:C:\Windows\System32\inetsrv\urlscan\UrlScan.ini 配置

使IIS支持PHP,ISAPI或CGI,FastCGI完全配置教程(最新php5.2.13配置方法)_win服务器

在Windows Server 2003的IIS6下配置ISAPI方式的PHP,配置方法是,在IIS的"WEB服务扩展"中,添加一个新的WEB服务扩展,程序后缀为PHP,ISAPI程序为php5isapi.dll,然后再我的电脑->属性->高级->"环境变量"-"系统变量"中增加变量名PHPRC,数值为php.ini的路径,在Internet信息服务管理器中,选择网站或应用程序的根目录,打开目录属性页(右键选择"属性&

Win2003中apache2整合tomcat5和IIS6的方法_win服务器

最开始是用iis直接连接tomcat,找遍了网上所有的资料,可是死活也连不通,或许是iis的封闭吧,看来tomcat与iis远没有成为朋友. 于是只好另辟蹊径,用apache监听80来做请求转发了,请求到iis的站点就转到相应目录,请求到tomcat下的站点就转发到tomcat下,于是开始到处找这方面的资料,终于经过反复试验,右克服请求servlet出错的困难,现在终于可以继续做自己的网站了. 参考文档: 1.http://WEBlife.blogbus.com/s1659/index.html

IIS+PHP+MYSQL安装配置方法_win服务器

一.安装php 1) 在D盘新建一个名为PHP的文件夹,解压缩php-5.2.0-win32.zip到D:\PHP. 2) 在D:\PHP文件夹下找到php.ini-dist文件,将其复制一份以做备份.将复制后的文件更名为php-ini. 3) 在php.ini文件中找到以下行:extension_dir = "./"(注:该行指定PHP查找扩展的位置),编辑该行,如下所示: extension_dir = "D:/PHP/ext"(注:不要这里用的是斜杠/而不是反

Windows服务器应对高并发和DDOS攻击的配置方法_win服务器

windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况. 通过以下配置可以改善windows服务器性能: 一.应对高并发请求: 1.TCP连接延迟等待时间 TcpTimedWaitDelay: 这是设定TCP/IP 可释放已关闭连接并重用其资源前,必须经过的时间.关闭和释放之间的此时间间隔通称 TIME_WAIT状态或两倍最大段生命周期(2MSL)状态.在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接.减少此条目的值允许 TC

Win7/Windows2003下IIS6.0、IIS7.5的伪静态组件安装和伪静态配置方法_win服务器

1)下载IIS伪静态组件--ISAPI_Rewrite3完全破解版 ISAPI_Rewrite3非常好用,是个人见过最好用同时可以支持多站点的IIS伪静态组件!1.官网下载(http://www.helicontech.com/download/isapi_rewrite/ISAPI_Rewrite3_0073.msi):2.建议从本网站下载破解版:http://www.jb51.net/softs/41171.html2)安装IIS伪静态组件1.以下载本网站的破解版为例:将下载的ISAPI_R

Windows防火墙开启ping,禁ping的配置方法_win服务器

当我通过本机Ping另一台在同一局域网内(即在同一网段)的计算机时,发现,如果防火墙开启的话,无论如何也ping不通.一旦关闭防火墙就可以ping通了.这是为什么呢?究竟该怎么设置呢? 原因是这样的,现在的计算机系统,出于安全考虑,在默认情况下是不允许外部主机对其进行ping测试的.但在一个安全的局域网环境中,Ping测试又是管理员进行网络测试所必须的.如何更改设置呢?XP系统和WIN7系统有所不同: Windows XP,Windows Server 2003: Windows防火墙 -->

win2003 64位系统IIS配置方法_win服务器

1.因用模版安装ASP.NET 2.0需先卸载64位的.net2.0 命令:C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_regiis.exe –u 2.把IIS切换为32Bit模式运行 命令:Cscript C:\inetpub\adminscripts\adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1 3.重装安装32Bit .NET 2.0 命令:C:\WINDOWS