netsh"是Windows 2000/XP/2003操作系统自身提供的命令行脚本实用工具，它允许用户在本地或远程显示或修改当前正在运行的计算机的网络配置。


netsh ipsec，听闻只有windows2003才能运行。我都是在2003下测试的。其他系统就不知道了。我们要学习的就是他了。

 

IP安全策略，我自身的理解就是：一个安全策略由一条条规则组成，而这些规则是由2部分组成的。首先要建立一个ip筛选器（用来指定那些地址）。然后呢是筛选器操作（用来指定对这些ip的操作，就是动作）一个安全策略编写完成了，首先要激活，才能使用，那就是指派。

 

下面用实例来说明，然后附带一些常用的。这个例子就是不允许ip为192.168.1.2的机器访问我的3389端口。'后面是注析

 

'建立一个名字叫XBLUE的安全策略先

netsh ipsec static add policy name=XBLUE

'建立一个ip筛选器，指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TCP

'建立一个筛选器操作
netsh ipsec static add filteraction name=denyact action=block

'加入规则到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact

'激活这个策略
netsh ipsec static set policy name=XBLUE assign=y

写到这里，好郁闷。别人说我的是老掉牙的东西。再写一些就完结

一些例子，如果各位想认识更多，请看netsh ipsec ?

把安全策略导出
netsh ipsec static exportpolicy d:/ip.ipsec

删除所有安全策略
tnetsh ipsec static del all

把安全策略导入
netsh ipsec static importpolicy d:/ip.ipsec

激活这个策略
netsh ipsec static set policy name=策略名称 assign=y



我得到了61.90.227.136的sa权限。不过有策略限制，访问不到他的3389。我想用他的3389。于是这样，我的ip是220.207.31.249。

netsh ipsec static add filterlist name=welcomexblue
netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=7892 protocol=TCP
netsh ipsec static add rule name=letxblue policy=ConnRest filterlist=welcomexblue filteraction=Permit

访问结果
Guestok，可以访问了。

netsh ipsec static del rule name=letxblue policy=ConnRest

更改

netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=3389 protocol=TCP

删除
netsh ipsec static del rule name=letxblue policy=ConnRest
netsh ipsec static del filterlist name=welcomexblue

 

1,先创建IP策略,

2,添加IP筛选器,指定要应用的IP范围,列表

3,筛选器动作,为上面定义筛先器中的IP列表规定动作,拒绝or充许or协商如拒绝所有,然后允许开放俩条同时存在,刚除开放的其它都拒绝