Иллюстрированный самоучитель по Secure Web


Сканирование - часть 4


ipsecpol \\имя_компыотера -w REG -p "Web" -о

ipsecpol \\имя_компьютера -х -w REG -p "Web"-r

"BlockAll" -n BLOCK -f 0+* ipsecpol

\\имл_комльютера -x -w REG -p "Web" -r

"OkHTTP" -n PASS -f 0:80+*::TCP

Две последние команды создают политику IPSec под названием Web, включающую два правила фильтрации. Первое из них, BlockAll, блокирует все протоколы поступающих и исходящих сообщений для данного компьютера и всех других компьютеров, а второе, OkHTTP, разрешает трафик через порт 80 данного и всех остальных компьютеров. Если нужно разрешить использование утилиты ping, или других программ, работающих на базе протокола ICMP (чего мы настоятельно не рекомендуем делать без особой необходимости), то в политику Web можно включить такое правило.

ipsecpol \\имя_компыотера -х -w REG -p "Web" -r "OkICMP" -n PASS -f 0+*::ICMP

 В этом примере политика устанавливается для всех адресов, однако ее можно легко модифицировать на случай одного IP-адреса с помощью ключа -f (табл. 6.2) и направить действие этого правила на один интерфейс. Если система сконфигурирована с помощью этого примера, то при сканировании портов будет виден только порт 80. После отключения политики все порты снова станут доступными.

Описание всех аргументов, использованных в примере, приводится в табл. 6.2 (для получения полной информации о возможностях утилиты ipsecpol запустите команду ipsecpol -?).

Таблица 6.2. Параметры утилиты ipsecpol, используемые для фильтрации трафика через компьютеры под управлением Windows 2000

Параметр

Описание

-w REG

Переводит утилиту ipsecpol в статический режим (static mode), при котором выполняется запись политики в указанное местоположение (в отличие от используемого по умолчанию динамического режима, который действует только во время функционирования службы Policy Agent). Параметр REG определяет, что политика будет записана в системный реестр и подходит для отдельно стоящих Web-серверов (другой параметр, DS, позволяет записывать политику в каталог)

-P

Задает произвольное имя (например, web) для данной политики. Если уже существует политика с таким именем, то данное правило добавляется к ней. Например, в третьей строке к политике Web добавляется правило ОШТТР

-r

Задает произвольное имя для правила. Если политика уже включает правило с таким именем, то новое правило его заменит

-n

В статическом режиме может принимать одно из трех значений: BLOCK, PASS и IN PASS. Конкретные значения параметра описываются ниже

BLOCK

Исключает остальные значения параметра -п и создает фильтры блокировки. Эта команда аналогична выбору переключателя Block в программе управления политикой IPSec с графическим интерфейсом

PASS

Исключает остальные значения параметра -п и создает фильтры, обеспечивающие передачу данных через порты. Эта команда аналогична выбору переключателя Permit в программе управления политикой IPSec с графическим интерфейсом

-f

Задает список, состоящий из одного или нескольких IP-фильтров. Правила фильтрации задаются в следующем формате, получившем название спецификации фильтра (filterspec):

А . B . C . D/ маска: порт=А .B.C. D/
маска : порт:Ipprotocol

где в левой части равенства всегда задается адрес источника, а в правой — адрес получателя. Если знак = заменить на символ +, то будут созданы два зеркальных (mirrored) фильтра, по одному в каждом направлении. Маску и номер порта задавать необязательно. Если они не указаны, то в качестве маски подсети используется 255. 255. 255. 255, а в качестве номера порта — любой порт. Комбинацию А . в . C . D/ маска можно заменить следующими символами:

0 задает адрес локальной системы 

* обозначает произвольный адрес 

имя ONS (заметим, что множественное разрешение игнорируется).

Тип IP-протокола (например, ICMP) задавать необязательно. Если он не указан, то подразумевается любой IP-протокол. Чтобы задать конкретный IP-протокол, перед его названием необходимо точно указать номер порта или символ : :

-x

Необязательный параметр, активизирующий политику в случае ее записи в системный реестр локальной машины (он использовался в предыдущем примере при определении первого правила. По каким-то причинам этот параметр работает только при создании первого фильтра политики)


Необязательный параметр, отключающий политику в случае ее записи в системный реестр локальной машины

-o


Необязательный параметр, удаляющий политику, имя которой задано параметром -р. (Заметим, что при этом удаляются все аспекты указанной политики. Его не следует использовать, если другие политики ссылаются на объекты данной политики)

<


Начало  Назад  Вперед



Книжный магазин