⑴ 什麼是IPSEC工具
netsh ipsec 使用方法 在命令行下,通過netsh ipsec static來配置IPSEC安全策略。前提是IPSEC服務已經打開。 一個IPSEC由一個或者多個規則組成;一個規則有一個IP篩選器列表和一個相應的篩選器操作組成;這個篩選器列表和篩選器可以是系統本身所沒有的,如果沒有則需要自行建立,而一個篩選器又由一個或多個篩選器組成,因此配置IPSEC的時候必須分步進行。規則由篩選器列表和篩選器操作構成。而且存放在策略里,策略器由策略器列表來存儲,這樣就決定了一個步驟:建立空的安全策略,建立篩選器列表,建立篩選器操作,這三步不需要特定的順序,建立篩選器需要在空篩選器列表建立成以後;建立規則在上述三步驟完成之後。下面開始配置策略的新增,修改,刪除、最重要的是激活; 更詳細的資料請參考微軟的技術資源庫: Netsh Commands for Internet Protocol Security (IPsec) 連接如下:technet/zh-cn/cc725926 備註:注意連接里的 Netsh Commands for Windows Firewall with Advanced Security.連接,他給你的幫助會更大; 導出IPsec安全策略:Netsh ipsec static exportpolicy file = d:\ExportSecurity.ipsec 導入IPsec安全策略:Netsh ipsec static importpolicy file = d:\ImportSecurity.ipsec 1、建立一個新的策略 1.1首先建立一個空的安全策略[Michael's安全策略] Netsh ipsec static add policy name = Michael's安全策略 1.2建立一個篩選器操作」阻止」 Netsh ipsec static add filteraction name = 阻止 action =block 1.3建立一個篩選器列表「可訪問的終端列表」 Netsh ipsec static add filterlist name =可訪問的終端列表 Netsh ipsec static add filter filterlist = 可訪問的終端列表 srcaddr=203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol =TCP mirrored = yes Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes 1.4建立策略規則 Netsh ipsec static add rule name =可訪問的終端策略規則 Policy = Michael's安全策略 filterlist =可訪問的終端列表 filteraction = 阻止 2、修改策略 netsh ipsec static set filter filterlist = 可訪問的終端列表 srcaddr = 220.207.31.249 dstaddr = Me dstport=3389 protocol=TCP 3、刪除策略 netsh ipsec static delete rule name = 可訪問的終端策略規則 policy = Michael's安全策略 netsh ipsec static delete filterlist name = 可訪問的終端列表 4、最最重要的一步是激活; netsh ipsec static set policy name = Michael's安全策略 assign = y 以下提供一個我自己寫的實例: 復制代碼 代碼如下: echo 創建安全策略 Netsh IPsec static add policy name = APU安全策略 echo 創建篩選器是阻止的操作 Netsh IPsec static add filteraction name = 阻止 action = block echo 創建篩選器是允許的操作 Netsh IPsec static add filteraction name = 允許 action = permit echo 建立一個篩選器可以訪問的終端列表 Netsh IPsec static add filterlist name = 可訪問的終端列表 Netsh IPsec static add filter filterlist = 可訪問的終端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes echo 建立一個篩選器可以訪問的終端列表 Netsh ipsec static add filter filterlist = 可訪問的終端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol =any mirrored = yes echo 建立策略規則 Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = APU安全策略 filterlist = 可訪問的終端列表 filteraction = 阻止 echo 激活策略 netsh ipsec static set policy name = APU安全策略 assign = y pause 或者 復制代碼 代碼如下: Netsh ipsec static add policy name = 默認策略名稱 pause Netsh ipsec static add filteraction name = 阻止操作 action = block pause Netsh ipsec static add filteraction name = 允許操作 action = permit pause Netsh ipsec static add filterlist name = 訪問列表 pause Netsh ipsec static add filterlist name = 阻止列表 pause Netsh ipsec static add filter filterlist = 訪問列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部門1訪問 protocol = TCP mirrored = yes pause Netsh ipsec static add filter filterlist = 訪問列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部門2訪問 protocol = any mirrored = yes pause Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表1 filteraction = 阻止操作 pause Netsh ipsec static add rule name = 可訪問的終端策略規則 Policy = 默認策略名稱 filterlist = 訪問列表2 filteraction = 阻止操作 pause netsh ipsec static set policy name = 默認策略名稱 assign = y pause [以下是轉載未經過測試,網路上都可以找的到。] 復制代碼 代碼如下: REM =================開始================ netsh ipsec static ^ add policy name=bim REM 添加2個動作,block和permit netsh ipsec static ^ add filteraction name=Permit action=permit netsh ipsec static ^ add filteraction name=Block action=block REM 首先禁止所有訪問 netsh ipsec static ^ add filterlist name=AllAccess netsh ipsec static ^ add filter filterlist=AllAccess srcaddr=Me dstaddr=Any netsh ipsec static ^ add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block REM 開放某些IP無限制訪問 netsh ipsec static ^ add filterlist name=UnLimitedIP netsh ipsec static ^ add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me netsh ipsec static ^ add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit REM 開放某些埠 netsh ipsec static ^ add filterlist name=OpenSomePort netsh ipsec static ^ add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP netsh ipsec static ^ add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP netsh ipsec static ^ add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP netsh ipsec static ^ add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP netsh ipsec static ^ add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit REM 開放某些ip可以訪問某些埠 netsh ipsec static ^ add filterlist name=SomeIPSomePort netsh ipsec static ^ add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP netsh ipsec static ^ add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP netsh ipsec static ^ add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit 前言: IPSec的全稱是Internet Protocol Security,翻譯成中文就是Internet協議安全性。它的作用主要有兩個:一個是保護 IP 數據包的內容,另外一點就是通過數據包篩選並實施受信任通訊來防禦網路攻擊。這對於我們當有一些重要的數據在傳輸的過程中需要加以保護或者防止監聽來說無疑是一個好消息,因為Windows 2000已經內置了這個功能,我們不再需要藉助其他的工具以實現這個目的了。 由於是在IP層進行對數據的對稱加密,封裝的是整個的IP數據包,所以不需要為 TCP/IP 協議組中的每個協議設置單獨的安全性,因為應用程序使用 TCP/IP 來將數據傳遞到 IP 協議層,並在這里進行保護。相應的IPSec配置相對復雜,但是對於應用程序來說是透明的,因此不要求應用程序必須支持。下面分幾個部分對IPSec的概念、工作過程和實踐應用等幾個方面加以闡述: 一、 IPSec的工作的過程: 兩台計算機在通訊的時候,如果已經設置好IPSec的策略,主機在通訊的時候會檢查這個策略,策略在應用到主機的時候會有一個協商的過程,這個過程通過Security Association來實現。協商後根據Policy的配置,兩台計算機之間建立一個加密的連接,數據進行加密傳輸。驅動程序將解密的數據包傳輸給TCP/IP的驅動程序,然後傳輸給接收端的應用程序。 二、 進入IPSec控制界面: 有兩種方式可以打開,功能是完全一樣的: 開始-運行-管理工具-本地安全策略 MMC-添加/刪除管理單元-添加-IP安全管理策略-確定 三、 預定義的策略: 預設的是沒有啟用IPSec,需要進行指派。我們可以發現系統已經給我們定義了三個策略,下面非別進行介紹。 安全伺服器:必須使用IPSec,如果對方不使用IPSec,則通訊無法完成。用於始終需要安全通訊的計算機。 客戶端:功能是預設在通訊過程中不使用IPSec,如果對方要求IPSec,它也可以使用IPSec。用於在大部分時間不能保證通訊的計算機。 伺服器:功能是預設使用IPSec,但是對方如果不支持IPSec,也可以不使用IPSec。用於在大部分時間能保證通訊的計算機。 策略可以在單台計算機上進行指派,也可以在組策略上批量進行指派。值得注意的是為了達到可以通過協商後進行通訊,所以通訊的兩端都需要設置同樣的策略並加以指派。 四、 IPSec的工作方式: 傳送模式(計算機之間安全性配置):保護兩個主機之間的通訊,是默認的IPSec模式。傳送模式只支持Windows2000操作系統,提供點對點的安全性。 隧道模式(網路之間安全性配置):封裝、發送和拆封過程稱之為「隧道」。一般實現方法是在兩個路由器上完成的。在路由器兩端配置使用IPSec,保護兩個路由器之間的通訊。主要用於廣域網上,不提供各個網路內部的安全性。 五、 IPSec的身份驗證方法: Kerberos V5:(默認)如果是在一個域中的成員,又是Kerberos V5協議的客戶機,選擇這一項。比如一個域中的Windows 2000的計算機。 證書:需要共同配置信任的CA。 預共享密鑰:雙方在設置策略的時候使用一段共同協商好的密鑰。 以上三種方法都可以作為身份驗證的方法,一般在日常工作當中,如果是域中的Windows 2000的計算機之間就採用Kerberos的認證方式,由於國內CA用的實在不多,一般其他情況下可以採用第三種方式,雙方協商一段密鑰,這個在後面的例子二中還會涉及。 六、 IPSec的加密模式: 身份驗證加密技術: SNA MD5 數據包加密技術: 40-bit DES 56-bit DES 3DES:最安全的加密方法,相應的也會消耗更多的系統資源。 以上的概念性的東西大家可以查閱相關資料,這里就不多多講述了。 七、 應用: 以上概念性的東西說了很多,下面正式進入實戰,將通過兩個例子把IPSec的兩方面的功能進行說明。 1、 保護IP數據包的內容:為了保護兩個主機之間的通訊信息的安全性,我們將利用IPsec的在兩台計算機之間建立一個安全連接。採用預共享密鑰方式,並強制使用IPSec進行通訊加密。例子中有兩台計算機,第一台計算機IP為192.168.0.1,第二台計算機IP為192.168.0.2,如果沒有特殊說明,操作是在第一台計算機上進行。 (1)、進入IPSec控制界面,右鍵點擊「安全伺服器」,選中屬性(系統已經內置了三條規則,大家可以自己詳細的看一下作用,為了演示策略的添加過程我們採用自己添加的方式)。點擊「添加」按鈕。 (2)、進入安全規則向導,點擊「下一步」按鈕。 (3)、根據實際情況,我們是實現兩台主機之間的安全通訊,不是網路之間的,所以選擇「此規則不指定隧道」,因此我們將採用傳送模式。點擊「下一步」按鈕。 (4)、進入了選擇網路類型的界面,可以選擇的有三種方式,概念應該很好理解了,我們選擇「所有網路連接」,點擊「下一步」按鈕。 (5)、進入了身份驗證方法的界面,三種驗證方法在上文中已經介紹,我們選擇第三種「此字串用來保護密鑰交換(預共享密鑰)」,然後在對話框中輸入我們協商好的密鑰,比如「hello」。點擊「下一步」按鈕。 (6)、進入了「IP篩選器列表」界面,由於我們是要保護全部的通訊,所有選擇「所有IP通訊」,當然也可以自己添加新的篩選器列表,這部分內容在第二個例子中會提到,點擊「下一步」按鈕。 (7)、進入「篩選器操作」界面,根據我們前面提到的要求,我們選擇要求安全設置,這里的篩選器操作也是可以自己添加的,例子二中也會提到,點擊「下一步」按鈕。 (8)、至此安全規則創建完畢,我們點擊「完成」。 (9)、會到開始的埠,我們會發現已經增加了我們新增加的安全規則。除了選中我們自己創建的規則以外,我們把其他默認規則的對勾點無。 (10)、最後,也是非常重要的一點,我們要對我們創建的策略進行指派,否則策略不會自己生效,點擊「安全伺服器」右鍵,點擊「指派」。 (11)、這個時候我們打開一個窗口,開始使用Ping命令,檢查我們的通訊狀況。例子中的第二台計算機的IP地址為192.168.0.2,我們執行Ping 192.168.0.2 –t,會發現一直在「協商IP安全性」,這個是什麼原因呢?因為這個時候我們只是在第一台計算機上面設置了IPsec策略,另一端並沒有做相應的設置,協商無法成功,所以這個時候我們必須到另外一端的計算機進行同樣的設置並進行指派。 (12)、192.168.0.2的計算機上設置完畢並進行指派以後我們發現信息發生了變化,協商IP安全性通過,我們又接收到了來自192.168.0.2的回應。 (13)、如果我們在這之前打開了IP安全監視器,也就是IPSecmon的話,我們會發現窗口裡面會有相應的記錄顯示。右下角也會顯示「IP安全設置已經在這台計算機上啟用」。 至此,例子一所要求的目的已經達到,我們成功的創建了IPSec來保證數據的安全性,這個時候其它沒有啟用IPsec的計算機如果對這台計算機發出Ping的命令,將得不到回應,如下圖(我採用的方法是不指派計算機192.168.0.1設置好的IPSec策略): 2、 數據包篩選:這個功能對於我們來說也是相當有用的,記得很多網友都在詢問如何關閉計算機的某個埠或者是如何防止別人Ping我的計算機等等之類的問題,防火牆是一個解決的方式,但是需要付出額外的費用和資源。靠TCP/IP屬性裡面的高級選項的篩選可以做到一些,但是只能夠設置打開哪些埠,不能設置關閉哪些埠。其實這個要求完全可以靠IPSec來實現,有的朋友可能要問,那麼還防火牆做什麼?前面提到,和專業防火牆比起來,使用Ipsec配置相對來說要麻煩一些,不適合一般用戶使用,另外目前的防火牆已經集成了很多其他的功能,還有就是硬體的防火牆會消耗更少的系統資源。 下面的例子會介紹如果使用IPSec進行數據包篩選,關閉ICMP,也就是大家很關心的如何關閉Ping的回應信息,這個其實用到的是ICMP(8,0),這里不詳細介紹了ICMP了,正式進入實踐操作(例子有兩台計算機,第一台計算機IP為192.168.0.1,第二台計算機IP為192.168.0.2,如果沒有特殊說明,操作是在第二台計算機上進行。): (1)、進入IPSec控制界面,由於我們需要的篩選策略和操作在系統內置的裡面沒有合適的,所以下面我們進行自己添加。首先右鍵點擊「IP安全策略」,選中「管理IP篩選器表和篩選器操作」。 (2)、選中管理IP篩選器列表,點擊「添加」按鈕。 (3)、為我們的IP篩選器列表起一個名字,比如「ICMP」,也可以在「描述」信息裡面輸入相應的描述信息。點擊「添加」按鈕。 (4)、進入「IP篩選器向導」,點擊「下一步」按鈕。 (5)、選擇「源地址」信息,我們選擇「我的IP地址」,也就是代表的本機,192.168.0.2。點擊「下一步」按鈕。 (6)、選擇「目標地址」信息,我們選擇「任何IP地址」,如果大家配置過防火牆,大家會發現這個步驟和防火牆的配置是完全一樣的。點擊「下一步」按鈕。 (7)、選擇「協議類型」,我們選擇「ICMP」。這個時候大家會發現有很多協議類型供大家選擇,也包括了TCP、UDP等等。點擊下一步。 (8)、這個時候就完成了IP篩選器的建立,可以點擊「完成」按鈕。這個時候值得注意的是,由於我選擇的是ICMP,但是假如這個時候我選擇的是TCP,後面還會出現埠的選擇,設置進站和出站的埠。 (9)、接下來要進行的是添加一個符合我們需要的篩選器操作,這里我們需要的建立一個阻止的操作。首先我們點擊「添加」按鈕: (10)、進入了「IP安全篩選器操作向導」,點擊「下一步」按鈕。 (11)、我們給這個操作起一個名字,這里我起的是「Deny」,也可以在描述中加入一些描述信息。點擊「下一步」按鈕。 (12)、選擇操作的行為,我們選擇「阻止」。點擊「下一步」按鈕。 (13)、這樣就完成了「IP安全篩選器操作」的添加工作,點擊完成。 (14)、下面的工作是建立一條新的IP安全策略,會用到以上我們創建的篩選器列表和操作。回到我們的第一步的位置,這次點擊「創建IP安全策略」。這個時候我們進入了「IP安全策略向導」,點擊「下一步」按鈕。 (15)、我們給這個IP安全策略起一個名字,我起的名字叫做「屏蔽ICMP」,也可以適當加入描述信息。點擊「下一步」按鈕。 (16)、選擇「激活默認響應規則」,點擊「下一步」按鈕。 (17)、選擇默認值,點擊「下一步」按鈕。 (18)、點擊「完成」。 (19)、下面開始對此條策略進行配置。點擊「添加」按鈕。 (20)、進入「創建IP安全規則向導」,點擊「下一步」按鈕。 (21)、和例子一中類似,按照我們的需求,我們選擇「此規則不指定隧道」。點擊「下一步」按鈕。 (22)、選種「所有網路連接」,點擊「下一步」按鈕。 (23)、選擇「默認值」,點擊「下一步」按鈕。 (24)、選種我們新建立的篩選器「ICMP」,點擊「下一步」按鈕。 (25)、選擇我們新建立的操作「deny」,點擊「下一步」按鈕。 (26)、至此,我們完成了整個設置過程。點擊完成結束。 (27)、最後還需要提醒大家的就是需要對我們新建立的策略進行指派。 (28)、下面的圖表示了在指派我們這條策略前後的變化,在192.168.0.2這台計算機指派了此條規則以後,我們從192.168.0.1這台計算機將得不到來自192.168.0.2這台計算機的ICMP的回應。 以上我們通過三部分的工作完成了數據包篩選的操作,分別是創建IP篩選器列表和IP篩選器操作,還有就是創建IP安全策略。不過不是每一條規則都需要這么多的操作,比如IP篩選器操作,下次再有屏蔽某個埠操作的時候就可以直接使用這個「deny」操作了。 八、 結束語 通過上面的介紹,大家可以發現使用IPSec真的可以做不少事情,假如我們知道了其他服務的埠,比如終端服務、FTP服務等等,都可以用IPSec把數據通訊保護起來。現在大家不妨盡快去做這個事情,誰知道現在有沒有在監聽你的信息呢? 如果在使用中遇到問題,大家不妨嘗試從以下幾個方面去進行排錯。檢查兩端是否都已經相應的做了IPSec策略設置;檢查策略是否已經被指派;檢查系統和安全日誌相關記錄;利用監視器,也就是命令行方式下的IPSecmon。最後祝大家使用順利,充分發揮Windows 2000的這個好工具的功能! ------------------------------------------ KUKA:ipsec是個很有用的東西,許多做伺服器託管的朋友常為安全問題煩惱,其實只要善用IPSEC,NTFS許可權等等完全可以在一定程度上解決大部分的安全問題的 在實際使用中,我們都是將規則導出,為ipsec擴展名,然後導入即可。 復制代碼 代碼如下: :: 導入常來網專用IP安全策略 netsh ipsec static importpolicy ThecSafe.ipsec netsh ipsec static set policy name="常來網專用安全策略" assign=y
⑵ 庫卡機器人示教器怎麼隱藏dat文件
需要相關許可權。
每個mole都由src文件及dat文件組成,但只有登陸了專家級及以上的許可權才能顯示出來,即使登錄了專家許可權也可以通過過濾器選項關閉。庫卡(KUKA)機器人有限公司於1898年建立於德國巴伐利亞州的奧格斯堡,是世界領先的工業機器人製造商之一。庫卡機器人公司在全球擁有20多個子公司,大部分是銷售和服務中心。