命令行更改IP安全策略工具(ipseccmd)

IPsecCMD 是一个傻瓜化的命令行更改IP安全策略的安全小工具,只要略掌握他的用法,即使是菜鸟也能运用自如,不必去学习IP安全策略难烦琐的设置步骤,从ipseccmd /? 可以得到帮助,从帮助中看到用法真的很简单.需要指出的是. IPsecCMD是微软的安全工具,默认状态它不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT/TOOLS/SUPPORT.CAB中，而且要正常使用pseccmd还必须保证IPSEC Services 服务开启和正常状态,否则引用命令时会出错,另外还必须保证有这两个文件：ipsecutil.dll和text2pol.dll。不然ipseccmd也不能正常运行.  

下面是封闭TCP 135 危险端口名的例子:

ipseccmd  -w REG -p "关闭TCP 135" -o -x
ipseccmd  -w REG -p "关闭TCP 135" -x
ipseccmd  -w REG -p "关闭TCP 135" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x

第一行中的命令是创建 关闭TCP 135 这个IPSec策略
第二行中的命令是激活 关闭TCP 135 这个策略
第三行中的命令是创建要禁止的端口

这里我们使用的是静态模式，常用的参数如下：  

　　-w reg 表明将配置写入注册表，重启后仍有效。  

　　-p 指定策略名称，如果名称存在，则将该规则加入此策略，否则创建一个。  

　　-r 指定规则名称。  

　　-n 指定操作，可以是BLOCK、PASS或者INPASS，必须大写。  

　　-x 激活该策略。  

　　-y 使之无效。  

　　-o 删除-p指定的策略。  

　　其中最关键的是-f。它用来设置你的过滤规则，格式为

A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。其中=前面的是源地址，后面是目的地址。如果使用+，则表明此规则是双向的。IP地址中用*代表任何IP地址，0代表我自己的IP地址。还可以使用通配符，比如144.92.*.* 等效于144.92.0.0/255.255.0.0。使用ipseccmd /?可以获得它的帮助。

如果希望将规则删除，需要先使用-y使之无效，否则删除后它还会持续一段时间。

http://www.anyliz.com/blog/article/393.htm