Главная

Популярная публикация

Научная публикация

Случайная публикация

Обратная связь

ТОР 5 статей:

Методические подходы к анализу финансового состояния предприятия

Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века

Ценовые и неценовые факторы

Характеристика шлифовальных кругов и ее маркировка

Служебные части речи. Предлог. Союз. Частицы

КАТЕГОРИИ:






Findstr Windows proposal.txt 5 страница




Примеры фильтров

Чтобы создать отраженные фильтры для фильтрации TCP-трафика между Computer1 и Computer2, введите:

Computer1+Computer2::TCP

Чтобы создать фильтр для всего TCP-трафика из подсети 172.31.0.0/255.255.0.0, порт 80, в подсеть 10.0.0.0/255.0.0.0, порт 80, введите:

TCP

Чтобы создать отраженный фильтр для передачи трафика между локальным IP-адресом и IP-адресом 10.2.1.1, введите:

(0+10.2.1.1)

  • Для параметра -n одна или несколько политик согласования разделяются пробелами и задаются в одной из следующих форм:
    • esp[ алг_шифрования, алг_пров_подлинности ] смена_ключа PFS[ группа ]
    • ah[ алг_хеширования ]
    • ah[ алг_хеширования ]+esp[ алг_шифрования, алг_пров_подлинности ]

где алг_шифрования может иметь значение none, des или 3des, алг_пров_подлинности может иметь значение none, md5 или sha, а алг_хеширования может иметь значение md5 или sha.

    • Конфигурация esp[none,none] не поддерживается.
    • Параметр sha соответствует алгоритму хеширования SHA1.
    • Параметр смена_ключа необязателен, и он задает количество килобайт (на что указывает буква K после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в быстром режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в быстром режиме сопоставления безопасности сменялся через каждый час и через каждые 5 мегабайт данных, введите:

3600S/5000K

    • Параметр PFS является необязательным, он включает сеансовые циклы безопасной пересылки. По умолчанию сеансовые циклы безопасной пересылки отключены
    • Параметр группа является необязательным, он включает группу Диффи-Хелмана для сеансовых циклов безопасной пересылки. Для низкой группы (1) Диффи-Хелмана следует задавать значение PFS1 или P1. Для средней группы (2) Диффи-Хелмана следует задавать значение PFS2 или P2. По умолчанию значение группы сеансовых циклов безопасной пересылки берется из текущих параметров основного режима.
    • Если не заданы политики согласования, по умолчанию используются следующие политики согласования:
      • esp[3des,sha]
      • esp[3des,md5]
      • esp[des,sha]
      • esp[des,md5]
  • Если параметр -t не задан, используется режим транспорта IPSec.
  • Для параметра -a один или несколько способом проверки подлинности разделяются пробелами и задаются в одной из следующих форм:
    • preshare:" строка_общего_ключа "
    • kerberos
    • cert:" центр_серт "

Параметр строка_общего_ключа задает строку знаков общего ключа. Параметр центр_серт задает отличительное имя сертификата, отображаемое в окне оснастки «Политики безопасности IP», когда этот сертификат выбран в качестве способа проверки подлинности для правила. Регистр в значениях параметров строка_общего_ключа и центр_серт имеет значение. Название способа можно сокращать, указывая только первую букву: p, k или c. Если параметр -a не задан, по умолчанию используется способ проверки подлинности Kerberos.

  • Для параметра -1s один или несколько методов безопасности смены ключа разделяются пробелами и задаются в следующем формате:

алг_шифрования - алг_хеширования - номер_группы

где алг_шифрования может иметь значение des или 3des, алг_хеширования может иметь значение md5 или sha, а номер_группы может иметь значение 1 для низкой (1) группы Диффи-Хелмана или 2 для средней (2) группы Диффи-Хелмана. Если параметр -1s не задан, по умолчанию используются методы безопасности смены ключа 3des-sha-2, 3des-md5-2, des-sha-1 и des-md5-1.

  • Для параметра -1k можно задать количество сопоставлений безопасности быстрого режима (на что указывает буква Q после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в основном режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в основном режиме сопоставления безопасности сменялся через каждые 10 сопоставлений безопасности быстрого режима и через каждый час, введите:

10Q/3600S

Если параметр -1k не задан, по умолчанию смена ключа для основного режима происходит через неограниченное количество сопоставлений безопасности быстрого режима и через каждые 480 минут.

  • По умолчанию основной ключ безопасной пересылки отключен.
  • Для параметра -1f синтаксис задания определения фильтра основного режима тот же, что и для параметра -f, за исключением того, что нельзя задавать разрешающие фильтры, блокирующие фильтры, порты и протоколы. Если параметр -1f не задан, фильтры основного режима создаются автоматически на основе фильтров быстрого режима.
  • Если параметр -1e не задан, срок действия для мягких сопоставлений безопасности равен 300 секунд. Однако, если не задан параметр -soft, мягкие сопоставления безопасности отключены.
  • Подтверждение доступно только в динамическом режиме.
  • Если не задан ни параметр -dialup, ни параметр -lan, правило будет применено ко всем адаптерам.

Примеры

Чтобы создать правило, использующее заголовок проверки подлинности (AH) с хешированием MD5 для всего входящего и исходящего трафика локального компьютера, введите:

ipseccmd -f 0+* -n ah[md5]

Чтобы создать правило туннеля для трафика с адресов 10.2.1.1 и 10.2.1.13 с использованием конечной точки туннеля 10.2.1.13, режимом туннеля AH с использованием алгоритма хеширования SHA1 и включенным основным ключом безопасной пересылки, а также с выдачей запроса перед созданием правила, введите:

ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c

Чтобы создать правило на компьютере corpsrv1 для всего трафика между компьютерами corpsrv1 и corpsrv2 с использованием сочетания AH и ESP (Encapsulating Security Payload) и проверкой подлинности с помощью общего ключа, введите:

ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"

Статический режим ipseccmd

Статический режим Ipseccmd служит для создания именованных политик и именованных правил. Используя статический режим, также можно изменять имеющиеся политики и правила, если они созданы с помощью Ipseccmd. Синтаксис статического режима объединяет синтаксис динамического режима с параметрами, позволяющими ему работать на уровне политики.

Синтаксис

ipseccmd параметры_динамического_режима -w тип [: расположение ] -p имя_политики [: интервал_опроса ] -r имя_правила [{ -x | -y }] [ -o ]

Параметры

параметры_динамического_режима

Обязательный параметр. Задает набор описанных ранее параметров динамического режима для правила IPSec.

-w тип [: расположение ]

Обязательный параметр. Задает запись политик и правил в локальный реестр, реестр удаленного компьютера или домен Active Directory.

-p имя_политики [: интервал_опроса ]

Обязательный параметр. Задает имя политики и интервал ее обновления в минутах. Если значение имя_политики содержит пробелы, его следует заключать в кавычки (т. е. " имя_политики ").

-r имя_правила

Обязательный параметр. Задает имя правила. Если значение имя_правила содержит пробелы, его следует заключать в кавычки (т. е. " имя_правила ").

[{ -x | -y }]

Назначение политики локального реестра. Параметр -x задает назначение политики локального реестра. Параметр отменяет назначение политики локального реестра.

-o

Удаление правила или политики.

/?

Отображение справки в командной строке.

Заметки

  • Для параметра -w атрибут тип должен иметь значение reg для выбора реестра локального или удаленного компьютера либо значение ds для выбора Active Directory.
    • Если атрибут тип имеет значение reg, но значение расположение не задано, правило будет создано в реестре локального компьютера.
    • Если атрибут тип имеет значение reg и в качестве атрибута расположение задано имя удаленного компьютера, правило будет создано в реестре этого удаленного компьютера.
    • Если атрибут тип имеет значение ds, но значение расположение не задано, правило будет создано в домене Active Directory, в который входит локальный компьютер.
    • Если атрибут тип имеет значение ds и в качестве атрибута расположение задан домен Active Directory, правило будет создано в этом домене.
  • Если политика, заданная в параметре -p, уже существует, указанное правило будет добавлено в эту политику. В противном случае будет создана политика с указанным именем. Если в качестве интервала_опроса задано целое число, для данной политики будет установлен этот интервал опроса в минутах.
  • Если правило, имя которого задано в параметре -r, уже существует, оно будет изменено в соответствии с заданными параметрами. Например, если включить параметр -f для имеющегося правила, будут заменены только фильтры этого правила. Если правила с указанным именем не существует, оно будет создано.
  • Если задан параметр -o, все параметры указанной политики будет удалены. Не используйте этот параметр, если имеются другие политики, ссылающиеся на объекты в политике, которую требуется удалить.

· Использование статического режима отличается от использования динамического режима в одном отношении. В динамическом режиме разрешающие и блокирующие фильтры задаются в списке_фильтров, следующем за параметром -f. В статическом режиме разрешающие и блокирующие фильтры задаются в списке_политик_согласования, следующем за параметром -n. Вдобавок к параметрам динамического режима, описанным в списке_политик_согласования, в статическом режиме также можно использовать параметры block, pass и inpass. В следующей таблице приведена таблица со списком и описанием этих параметров.

Параметр Описание
block Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются блокирующими.
pass Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются разрешающими.
inpass Фильтры входящего трафика позволяют сначала устанавливать небезопасное подключение, но все последующие ответы будут безопасными с использованием IPSec.

Примеры

Чтобы создать политику «Политика домена» с 30-минутным интервалом обновления в домене Active Directory, членом которого является локальный компьютер, с правилом «Безопасные серверы» для трафика между локальным компьютером и компьютерами SecuredServer1 и SecuredServer2 с использованием способов проверки подлинности Kerberos и общим ключом, введите:

ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Политика домена":30 -r "Безопасные серверы"

Чтобы создать и назначить локальную политику «Весь трафик» и правило «Защита трафика», используя отраженный фильтр, всему трафику локального компьютера с использованием общего ключа в качестве способа проверки подлинности, введите:

ipseccmd -f 0+* -a p:"localauth" -w reg -p "Весь трафик" -r "Защита трафика" -x

Режим запроса ipseccmd

Режим запроса Ipseccmd служит для просмотра данных из базы данных политик безопасности IPSec.

Синтаксис

ipseccmd [ \\ имя_компьютера ] show {{[ filters ] | [ policies ] | [ auth ] | [ stats ] | [ sas ]} | all }

Параметры

\\ имя_компьютера

Имя удаленного компьютера, данные которого требуется просмотреть.

Show

Обязательный параметр. Запуск Ipseccmd в режиме запроса.

Filters

Отображение фильтров основного и быстрого режимов.

Policies

Отображение политик основного и быстрого режимов.

Auth

Отображение способов проверки подлинности основного режима.

Stats

Отображение статистики протоколов IKE и IPSec.

Sas

Отображение сопоставлений безопасности основного и быстрого режимов.

All

Отображение всех данных.

/?

Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для отображения данных IPSec на компьютерах, работающих под управлением Windows 2000.
  • Если параметр имя_компьютера не задан, отображаются сведения о локальном компьютере.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, данные которого требуется просмотреть.

Примеры

Для отображения фильтров и политик основного и быстрого режимов локального компьютера введите:






Не нашли, что искали? Воспользуйтесь поиском:

vikidalka.ru - 2015-2024 год. Все права принадлежат их авторам! Нарушение авторских прав | Нарушение персональных данных