本文介绍了使用netsh命令来管理(包括添加、删除和修改)Windows IP安全策略。可以用它批量添加安全策略，有需要的朋友可以参考一下。

Netsh是一个非常强大的命令行网络配置工具。它可以配置网卡、防火墙、IP安全策略等。本文主要从IP安全策略的角度介绍netsh的强大功能。

1、进入netsh的IP安全策略界面

在命令行窗口(cmd.exe)下，输入：netsh ipsec static以配置IP安全策略。

2、创建一个IP安全策略（policy ）

创建一个名为splaybow.com的IP安全策略。

C:\netsh ipsec静态添加策略name=splaybow.com

创建一个名为splaybow.com的安全策略，并描述为splay bow . com的策略。

C:\netsh ipsec静态添加策略name=splay bow . com description=' splay bow . com的策略'

使用下面的命令可以获得更多的参数。

netsh ipsec静态添加策略？(回车)

3、删除一个IP安全策略（policy ）

删除名为splaybow.com的IP安全策略。

netsh ipsec静态删除策略

或者

netsh ipsec静态删除策略name=splaybow

4、创建一个筛选器列表（filterlist）

创建一个名为denyAll的过滤器列表。

netsh ipsec静态添加筛选器list name=denyAll

5、删除筛选器列表（filterlist）

删除名为denyAll的筛选器列表。

netsh ipsec静态删除筛选器list name=denyAll

6、创建筛选器（filter）

在denyAll的过滤器列表中添加一个过滤器，禁止所有网络流量。

netsh ipsec静态添加筛选器filter list=deny all srcaddr=0 . 0 . 0 . 0 src mask=0 . 0 . 0 . 0 dstaddr=me protocol=ANY mirrored=yes description=' anywhere to me，anyProtocol，mirrored '

过滤器的参数和含义如下：

标签值

过滤器-要添加过滤器的过滤器列表的名称。

srcaddr-源ip地址、dns名称或服务器类型。

dstaddr-目标ip地址、dns名称或服务器类型。

描述-过滤器的简要信息。

协议-可以是任何协议、ICMP协议、TCP协议、UDP协议、原始协议或整数协议。

镜像-值为“是”将创建两个过滤器，每个方向一个。

src mask-源地址掩码或1到32的前缀。

dst mask-目的地址掩码是一个从1到32的前缀。

src port-数据包的源端口。值为0表示任何端口。

数据包的目的端口。值为0表示任何端口。

7、删除筛选器（filter）

删除步骤6中创建的过滤器。

C:\netsh ipsec静态删除筛选器filter list=deny all srcaddr=0 . 0 . 0 . 0 src mask=0 . 0 . 0 . 0 dstaddr=me protocol=ANY mirrored=yes

8、创建筛选器动作（filteraction）

创建一个名为allow的筛选器操作，该操作是permit。

C:\netsh ipsec静态添加筛选器action name=allow action=permit

创建一个名为deny的筛选器操作，该操作为block。

C:\netsh ipsec静态添加筛选器action name=deny action=block

与创建过滤器操作相关的参数：

标签值

名称-过滤器操作的名称。

描述-筛选器操作类别的简要信息。

QM PFS-设置快速模式全转发保密选项。

in pass-接受不安全的通信，但始终使用IPSec进行响应。这接受是或否。

软-允许与没有IPSec的计算机进行不安全的通信。可以是也可以不是。

操作-可以是允许、阻止或协商。

9、删除筛选器动作（filteraction）

删除名为“允许”的筛选器操作。

C:\netsh ipsec静态删除筛选器action name=allow

10、添加一个规则（rule）

添加名为“deny”的规则和策略“splaybow.com ”,以拒绝筛选器列表denyAll。

netsh ipsec静态添加规则name=deny policy=splay bow . com filter list=deny all filter action=deny

11、删除一个规则（rule）

删除刚刚创建的规则。请注意，您不仅应该在这里指定名称，还应该在这里指定策略，否则系统将无法找到它是哪个规则。

C:\netsh ipsec静态删除规则name=deny policy=splaybow.com

12、指派安全策略（policy）

名为splaybow.com的安全策略目前有效。

netsh ipsec静态设置策略name=splaybow.com assign=y

13、导出安全策略

netsh ipsec静态导出策略c:\splaybow.ipsec

14、删除所有IP安全策略

删除IP安全策略中的所有内容，包括所有策略、规则、筛选器列表、筛选器、筛选器操作等。

netsh ipsec静态删除所有

15、把安全策略导入

netsh ipsec静态导入策略c:\1.ipsec

本文详细介绍了如何使用netsh命令来管理IP安全策略。希望对你有帮助。谢谢大家！

服务器如果进行系统端口防护预防入侵

linux和windows都需要通过网络端口访问，有些程序和服务有固定的默认端口。如果不对这些默认端口进行保护和修改，它们很容易受到入侵。系统中有65，535个端口。入侵者通常会选择默认端口首先尝试连接。但是，入侵者很难修改大量的端口。港口防御呢？

1.修改默认远程端口3389/22。

2.修改默认的FTP端口21

3.修改默认的Mysql/Mssql端口3306/1433

4.关闭易受攻击的端口：88、137、138、139、389、445、464、593、636、1025、3001-3003、3095-3097等。

5.关闭影子帐户端口：4899

6.关闭易举端口：123

7.关闭imail激活的两个IP，限制156.21.1.171和156.21.1.22所有端口的连接。

8.使用安全策略进行协作保护。

9.配置并打开防火墙。

10.配置服务器安全狗软件。

1.如果UDP端口不适用，则阻止所有UDP。

上述修改有助于防止入侵，但不是必需的。还是需要运维人员对服务器进行长期的定期检查和维护。

FTP工具和端口。不使用时，建议直接关闭端口。删除软件。

关于使用netsh命令管理IP安全策略的文章到此结束(详细介绍)。有关netsh管理IP安全策略的更多信息，请搜索我们以前的文章或继续浏览下面的相关文章。希望你以后能支持我们！

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。