利用命令行IPSEC封鎖端口

趙 明

玉溪有線電視臺,云南玉溪 653100

利用命令行IPSEC封鎖端口

趙 明

玉溪有線電視臺,云南玉溪 653100

近年來，隨著多媒體技術和IT技術向電視領域的融合和滲透，推動了廣播電視技術的飛速發(fā)展。先進的設備和技術層出不窮，這給從事廣播電視事業(yè)的技術人員提供了廣闊的想象空間和施展才能的舞臺。就制作而言，以非線性編輯系統(tǒng)為核心的制作網(wǎng)絡在各電視臺普及開來。與傳統(tǒng)的以錄像機為主的制作系統(tǒng)相比，非線性制作系統(tǒng)更為靈活、高效。但是有利必有弊，隨著計算機網(wǎng)絡的發(fā)展，病毒、木馬、入侵、攻擊等等一系列問題也隨之而來了。計算機安全變得格外的重要。本文介紹了如何利用命令行下的IPsec配置工具－IPSECPOL.EXE，實現(xiàn)對計算機端口進行封鎖。

制作網(wǎng)絡；IPSEC；端口

隨著各電視臺數(shù)字化、網(wǎng)絡化進程的不斷推進，原來模擬時代的視、音頻信號傳輸方式也發(fā)生了很大的變化。在過去，各地的新聞回傳是由工作人員把制作好的節(jié)目磁帶利用錄像機通過光纖或者電纜進行傳輸?shù)?。然而，隨著各電視臺非線性制作網(wǎng)絡的建立，這一工作就變得很繁瑣。由于節(jié)目制作全都是在非線性編輯系統(tǒng)中完成的，因此，工作人員首先需要把制作好的節(jié)目通過下載工作站下載到錄像帶上，然后再拿著錄像帶到傳送機房使用放像機通過光纖或者電纜進行傳輸。接收節(jié)目的電視臺同樣還需要把錄制好的節(jié)目再一次通過放像機重新上載到本地非編網(wǎng)中。那么為什么不直接傳送制作好的節(jié)目數(shù)據(jù)呢？這是因為在電視臺中，為了保證制作網(wǎng)的安全，內網(wǎng)和外網(wǎng)是要求嚴格物理隔離的。那么有沒有其他解決的辦法呢？

為了方便接收各地回傳的節(jié)目，我們專門使用一臺計算機來做FTP服務器。由于該機直接與外網(wǎng)是相連接的，同時該機又需要與制作內網(wǎng)的機器進行文件交換，為此我們對該機器的使用作了嚴格的規(guī)定。與內網(wǎng)相連的網(wǎng)線采用了隨用隨接，用完即斷的連接方式，在制作內網(wǎng)上的工作人員每次需要下載該服務器上節(jié)目的時候便把網(wǎng)線連接上，完成之后，隨即斷開這一連接。同時我們還對該機器設置了嚴格的端口限制，防止非法入侵。下面就詳細說明一下利用命令行下的IPsec配置工具對計算機端口進行限制。

IPsec ：Security Architecture for IP networkIP 是一種開放標準的框架結構，通過使用加密的安全服務以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡上進行保密而安全的通訊。關于IPsec的原理在此就不做過多說明，由于我們采用的是Windows 2000作為FTP服務器的，因此，這里主要介紹Windows 2000下IPsec配置工具－－IPSECPOL.EXE，它是一個用于創(chuàng)建、指派和刪除IPSec策略的命令行程序。它工作的時候還需要另外兩個DLL，它們是text2pol.dll和ipsecutil.dll，只要把這兩個DLL同IPSECPOL.EXE一并復制到需要配置的機器上去就行了。

1 常用參數(shù)介紹

-w TYPE:DOMAIN：確定策略寫入的位置，一般選擇REG，也就是注冊表。

-p PolicyName:PollInterval：策略名。

-r RuleName ：規(guī)則名稱。

-f：設置規(guī)則。

-x：指派該策略。

-y：不指派（停止）該策略。

-o：刪除該策略。

其中-w,-f,-n的參數(shù)是區(qū)分大小寫的，都要使用大寫。配置和指派上來講也就用到這幾個，其余的在此就不多說了。

2 使用范例

1）阻止所有地址的所有端口到本機所有端口的通信（比如本機是重點保護對象）

ipsecpol -w REG -p "filter" -r "block" -f *+0 -n BLOCK

2）阻止任何主機的任何端口對192.168.0.88的TCP 135端口的通信

ipsecpol -w REG -p "filter" -r "block" -f *+192.168.0.88:135:TCP -n BLOCK

3）阻止1.2.3.4的TCP 2938端口連接本機的6667端口（比如1.2.3.4在irc上搗亂）

i p s e c p o l -w R E G -p "f i l t e r" -r "b l o c k" -f 1.2.3.4:2938+0:6667:TCP -n BLOCK

4）阻止本機TCP 3333端口連接任何主機的任何端口（比如本機3333端口是反彈連接的后門所開）

ipsecpol -w REG -p "filter" -r "block" -f 0:3333+*:TCP -n BLOCK

上面的例子是阻止的，如果設置通行的話，只要把 -n BLOCK改成PASS即可。其中=前面的是源地址，后面是目的地址。如果使用+，則表明此規(guī)則是雙向的。IP地址中用*代表任何IP地址，0代表我自己的IP地址。

3 注意

因為上面的例子中每一句都是獨立的，所以要配置多條規(guī)則的時候，應該一行多幾個-f，而不是分多行輸入，因為每一次都會覆蓋掉上一次的，比如：

要禁止任何主機的任何端口連接本機的TCP 6666,又要禁止任何主機的任何端口連接本機的TCP 8888，那么應該是這樣：

ipsecpol -w REG -p "filter" -r "block" -f *+0:6666:TCP -f *+0:8888:TCP -n BLOCK

而不是：

ipsecpol -w REG -p "filter" -r "block" -f *+0:6666:TCP -n BLOCK

ipsecpol -w REG -p "filter" -r "block" -f *+0:8888:TCP -n BLOCK

這在寫腳本的時候尤其應該注意。還有就是-f中某個參數(shù)缺省的話，就代表所有端口或協(xié)議。

4 指派、不指派和刪除

對于配好的策略來講，還要指派后才能生效，所以我們就：

ipsecpol -w REG -p" 篩選器名 " -x

如果要停止一個已經(jīng)指派了的策略，那么就：

ipsecpol -w REG -p" 篩選器名 " -y

如果要刪除這個策略，那么就：

ipsecpol -w REG -p" 篩選器名 " -o

在刪除某個策略的時候，應該先停止那個策略（-y）。刪除時會包括所有相關的篩選器列表和篩選器操作。

設置一臺機器可能會有許多條的配置，因此編寫一個腳本不但可以很方便、直觀地設置該機的安全配置，同時給一臺以上機器配置IPSEC的時候帶來極大方便，還可以根據(jù)每臺機器的不同要求，簡單更改就可以輕松搞定，下面是我們bat的例子：

install.bat:

ipsecpol -w REG -p FTPFW -r outfree -f 0+A.B.C.1 -f 0+A.B.C.2 -f 0+A.B.C.3 -f 0+A.B.C.4 -n PASS (只允許指定的 A.B.C.1234 與本機通信)

ipsecpol -w REG -p FTPFW -r outdeny -f 0=*:80:TCP -n BLOCK （禁止本機訪問任何的80端口，也就是禁止上網(wǎng)）

ipsecpol -w REG -p FTPFW -r indeny -f *=0 -n BLOCK （禁止任何機器訪問本機）

ipsecpol -w REG -p FTPFW -r infree -f 192.168.108.*+0 -n PASS （允許內網(wǎng)中192.168.108.*的機器訪問本機）

ipsecpol -w REG -p FTPFW -r antiping -f *+0::icmp -n BLOCK （禁止ping 入ping出）

ipsecpol -w REG -p FTPFW –x (指派策略 )

regedit -s all.reg （修改注冊表，具體內容后面介紹）

shutdown –l （自動注銷機器）

為了禁止工作人員使用該機器上網(wǎng)，為此我們除了禁止訪問80端口外還禁用了iexplore.exe 和regedit.exe，并且在指派安全策略之后自動注銷機器并設置了自動登陸。同時還關閉了系統(tǒng)默認共享文件夾，下面是注冊表修改文件：

通過上面的技術手段，我們把系統(tǒng)安全隱患降低到最低限度。不但能方便、高效地進行節(jié)目傳輸，同時最大程度降低了我們的運維成本。當然，任何的技術手段都不可能確保系統(tǒng)的永遠安全，我們必須隨時關注安全動態(tài)，不斷完善安全措施，提高警惕，只有這樣才能真正做好網(wǎng)絡安全工作。

5 結論

網(wǎng)絡安全是一個系統(tǒng)工程，不能只依靠一個殺毒軟件，或者幾條安全策略。安全實施的主體是人，只有樹立人的安全意識，不斷學習，提高業(yè)務水平，才能最大程度地保證系統(tǒng)的安全，確保系統(tǒng)高可靠性和高可用性。

G22，TP37

A

1674-6708（2010）21-0178-02

908472）.如何配置 RPC 以使用特定端口以及如何使用 IPsec 來幫助保護這些端口.

趙明，工程師，工作單位：玉溪有線電視臺，研究方向：廣播電視