该 netsh ipsec 命令用于配置和管理 Internet 协议安全 (IPsec) 策略和设置。 IPsec 是一个全面的协议套件,通过对通信会话中的每个 IP 数据包进行身份验证和加密来保护网络通信,确保传输数据的机密性、完整性和真实性。
Syntax
netsh ipsec [dump | dynamic | help | static | ?]
netsh ipsec dynamic add mmpolicy [name=]<string> [qmpermm=]<integer> [mmlifetime=]<integer> [softsaexpirationtime=]<integer> [mmsecmethods=](sec#1 sec#2 ... sec#n)
netsh ipsec dynamic add qmpolicy [name=]<string> [soft=](yes|no) [pfsgroup=](GRP1|GRP2|GRP3|GRPMM|NOPFS) [qmsecmethods=](neg#1 neg#2 ... neg#n)
netsh ipsec dynamic add rule [srcaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server) [dstaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server)
[mmpolicy=]<string> [qmpolicy=]<string> [protocol=](ANY|ICMP|TCP|UDP|RAW|<integer>) [srcport=]<port> [dstport=]<port>
[mirrored=](yes|no) [conntype=](lan|dialup|all) [actioninbound=](permit | block | negotiate) [actionoutbound=](permit|block|negotiate)
[srcmask=](mask|prefix) [dstmask=](mask|prefix) [tunneldstaddress=](ip|dns) [kerberos=](yes|no) [psk=]<preshared key>
[rootca=]"<certificate> certmap:(yes|no) excludecaname:(yes|no)"
netsh ipsec dynamic delete <all> [[mmpolicy|qmpolicy [name=]<string>|all]
netsh ipsec dynamic delete rule [srcaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server) [dstaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server)
[protocol=](ANY|ICMP|TCP|UDP|RAW|<integer>) [srcport=]<port> [dstport=]<port> [mirrored=](yes|no)
[conntype=](lan|dialup|all) [srcmask=](mask|prefix) [dstmask=](mask|prefix) [tunneldstaddress=](ip|dns)
netsh ipsec <dump>
netsh ipsec static add filter [filterlist=]<string> [srcaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server)
[dstaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server)
[description=]<string> [protocol=](ANY|ICMP|TCP|UDP|RAW|<integer>)
[mirrored=](yes|no) [srcmask=](mask|prefix) [dstmask=](mask|prefix) [srcport=]<port> [dstport=]<port>
netsh ipsec static add filteraction [name=]<string> [description=]<string> [qmpfs=](yes|no) [inpass=](yes|no)
[soft=](yes|no) [action=](permit|block|negotiate) [qmsecmethods=](neg#1 neg#2 ... neg#n)
netsh ipsec static add filterlist [name=]<string> [description=]<string>
netsh ipsec static add policy [name=]<string> [description=]<string> [mmpfs=](yes|no) [qmpermm=]<integer> [mmlifetime=]<integer>
[activatedefaultrule=](yes|no) [pollinginterval=]<integer> [assign=](yes|no) [mmsecmethods=](sec#1 sec#2 ... sec#n)
netsh ipsec static add rule [name=]<string> [policy=]<string> [filterlist=]<string> [filteraction=]<string> [tunnel=](ip|dns)
[conntype=](lan|dialup|all) [activate=](yes|no) [description=]<string> [kerberos=](yes|no)
[psk=]<preshared key> [rootca=]"<certificate> certmap:(yes|no) excludecaname:(yes|no)"
netsh ipsec static delete filter [filterlist=]<string> [srcaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server)
[dstaddr=](ipv4|ipv6|ipv4-ipv4|ipv6-ipv6|dns|server) [protocol=](ANY|ICMP|TCP|UDP|RAW|<integer>)
[mirrored=](yes|no) [srcmask=](mask|prefix) [dstmask=](mask|prefix) [srcport=]<port> [dstport=]<port>
netsh ipsec static delete [filteraction | filterlist | policy] [name=]<string>
netsh ipsec static delete all
netsh ipsec static delete rule [name=]<string> [id=]<integer> [all] [policy=]<string>
netsh ipsec static [exportpolicy | importpolicy] [file=]<string>
netsh ipsec static set batch [mode=](enable|disable)
netsh ipsec static set defaultrule [policy=]<string> [qmpfs=](yes|no) [activate=](yes|no) [qmsecmethods=](neg#1 neg#2 ... neg#n)
[kerberos=](yes|no) [psk=]<preshared key> [rootca=]"<certificate> certmap:(yes|no) excludecaname:(yes|no)"
netsh ipsec static set filteraction [name=]<string> [guid=]<guid> [newname=]<string> [description=]<string> [qmpfs=](yes|no)
[inpass=](yes|no) [soft=](yes|no) [action=](permit|block|negotiate) [qmsecmethods=](neg#1 neg#2 ... neg#n)
netsh ipsec static set filterlist [name=]<string> [guid=]<guid> [newname=]<string> [description=]<string>
netsh ipsec static set policy [name=]<string> [guid=]<guid> [newname=]<string> [description=]<string> [mmpfs=](yes|no) [qmpermm=]<integer>
[mmlifetime=]<integer> [activatedefaultrule=](yes|no) [pollinginterval=]<integer> [assign=](yes|no)
[gponame=]<string> [mmsecmethods=](sec#1 sec#2 ... sec#n)
netsh ipsec static set rule [name=]<string> [id=]<integer> [policy=]<string> [newname=]<string> [description=]<string> [filterlist=]<string>
[filteraction=]<string> [tunnel=](ip|dns) [conntype=](lan|dialup|all) [activate=](yes|no) [kerberos=](yes|no)
[psk=]<preshared key> [rootca=]"<certificate> certmap:(yes|no) excludecaname:(yes|no)"
netsh ipsec static set store [location=](local|domain) [domain=]<string>
netsh ipsec static show all [format=](list|table) [wide=](yes|no)
netsh ipsec static show filteraction [name=]<string> [rule=]<string> [all] [level=](verbose|normal)
[format=](list|table) [wide=](yes|no)
netsh ipsec static show filterlist [name=]<string> [rule=]<string> [all] [level=](verbose|normal)
[format=](list|table) [resolvedns=](yes|no) [wide=](yes|no)
netsh ipsec static show gpoassignedpolicy [name=]<string>
netsh ipsec static show policy [name=]<string> [all] [level=](verbose|normal) [format=](list|table) [wide=](yes|no)
netsh ipsec static show rule [name=]<string> [id=]<integer> [all] [default] [policy=]<string> [type=](tunnel|tranport)
[level=](verbose|normal) [format=](list|table) [wide=](yes|no)
netsh ipsec static show <store>
Parameters
| Command | Description |
|---|---|
IPsec dynamic add mmpolicy |
将主模式策略添加到安全策略数据库 (SPD)。 softsaexpirationtime - 指定安全关联软过期之前的时间( 以秒为单位)。 Other subparameters: name qmpermm mmlifetime mmsecmethods 有关描述详细信息,请参阅 备注 。 |
IPsec dynamic add qmpolicy |
向 SPD 添加快速模式策略。 pfsgroup - 指定用于密钥交换的完全正向保密 (PFS) 组。 Options are: GRP1, GRP2, GRP3 - 指定不同的 Diffie-Hellman 组(安全级别)。 GRPMM - 指定主模式组。 NOPFS - 不指定 PFS(默认设置)。 Other subparameters: name soft 有关描述详细信息,请参阅 备注 。 |
IPsec dynamic add rule |
将新的 IPsec 规则添加到动态策略配置中。 与静态策略不同,动态策略通常是临时的,可用于测试、故障排除或临时修改安全配置,而无需更改永久静态策略设置。 actioninbound - 指定要对入站流量执行的作。 actionoutbound - 指定要对出站流量执行的作。 Options are: permit:允许匹配的流量在没有任何 IPsec 保护的情况下通过。 block:阻止匹配的流量通过。 negotiate:要求匹配的流量执行 IPsec 协商以建立安全连接。 Other subparameters: srcaddr dstaddr mmpolicy qmpolicy protocol srcport dstport mirrored conntype srcmask dstmask tunneldstaddress kerberos psk rootca 有关描述详细信息,请参阅 备注 。 |
IPsec dynamic delete all |
从当前策略配置中删除 所有 动态 IPsec 规则。 Other subparameters: mmpolicy qmpolicy name all 有关描述详细信息,请参阅 备注 。 |
IPsec dynamic delete rule |
从动态策略配置中删除特定 IPsec 规则。 执行此命令时,指示系统删除动态添加到 IPsec 策略引擎的规则。 此作会影响在安全策略方面处理网络流量的方式。 Other subparameters: srcaddr dstaddr protocol srcport dstport mirrored conntype srcmask dstmask tunneldstaddress 有关描述详细信息,请参阅 备注 。 |
IPsec dump |
将当前 IPsec 配置设置导出到文本文件。 |
IPsec static add filter |
将特定流量过滤器添加到现有 IPsec 策略。 此筛选器定义哪些网络流量(基于 IP 地址、协议和端口等条件)受 IPsec 策略指定的安全规则和作的约束。 Other subparameters: filterlist srcaddr dstaddr description protocol mirrored srcmask dstmask srcport dstport 有关描述详细信息,请参阅 备注 。 |
IPsec static add filteraction |
在 IPsec 策略中添加筛选器作。 筛选器作指定应对与 IPsec 筛选器条件匹配的流量执行的作。 这些作决定了如何处理匹配的流量,例如是否应允许、阻止或保护匹配流量。 Other subparameters: name description qmpfs inpass soft action qmsecmethods 有关描述详细信息,请参阅 备注 。 |
IPsec static add filterlist |
Windows 中 IPsec 策略配置中的新筛选器列表。 过滤器列表本质上是一个或多个过滤器的集合,每个过滤器定义网络流量的特定条件,例如源和目标 IP 地址、端口和协议。 Other subparameters: name description 有关描述详细信息,请参阅 备注 。 |
IPsec static add policy |
添加新的 IPsec 策略。 此命令本身不会应用任何特定规则或过滤器,而是作为定义如何管理或保护设备上网络流量的起点。 Other subparameters: name description mmpfs qmpermm mmlifetime activatedefaultrule pollinginterval assign mmsecmethods 有关描述详细信息,请参阅 备注 。 |
IPsec static add rule |
将规则添加到现有 IPsec 策略。 创建 IPsec 策略后,通常需要定义特定规则来规定如何处理与特定条件匹配的流量。 Other subparameters: name policy filterlist filteraction tunnel conntype activate description kerberos psk rootca 有关描述详细信息,请参阅 备注 。 |
IPsec static delete filter |
从 IPsec 配置中删除指定的筛选器。 IPsec 中的过滤器用于定义匹配网络流量的条件,例如指定某些规则或作应适用的特定 IP 地址、协议或端口号。 Other subparameters: filterlist srcaddr dstaddr protocol mirrored srcmask dstmask srcport dstport 有关描述详细信息,请参阅 备注 。 |
IPsec static delete all 网 ipsec static delete [filteraction | filterlist | policy] |
从系统中删除 all IPsec 策略、规则、过滤器、过滤器作和关联组件。 此命令还可以删除 特定 组件或从 IPsec 配置中删除。 Other subparameters: name 有关描述详细信息,请参阅 备注 。 |
IPsec static delete rule |
从现有 IPsec 策略中删除特定规则。 Other subparameters: name id all policy 有关描述详细信息,请参阅 备注 。 |
ipsec static [exportpolicy | importpolicy] file=<string> |
此命令用于管理 IPsec 策略的导出和导入,允许您将 IPsec 配置保存到文件或从文件加载 IPsec 配置。 这对于备份配置或将相同配置应用于多个系统非常有用。 exportpolicy - 将当前 IPsec 策略配置导出到指定文件。 importpolicy - 从指定文件导入 IPsec 策略配置。 file - 指定要用于导出或导入策略的文件的路径和名称。 |
IPsec static set batchmode=(enable|disable) |
在一组中执行多个 IPsec 命令,减少更改期间策略不一致的可能性。 启用批处理模式时,可以输入多个 IPsec 命令,它们会排队。 完成命令输入并退出批处理模式后,策略更改将立即应用。 启用批处理模式后,它允许将多个 IPsec 策略命令作为批处理处理,这意味着可以将它们一起应用,以最大程度地减少策略更改可能不一致或不完整的时间。 禁用批处理模式时,每个命令都会在您输入时独立执行。 |
IPsec static set defaultrule |
配置在没有更具体规则的情况下应用的默认 IPsec 规则。 Other subparameters: policy qmpfs activate qmsecmethods kerberos psk rootca 有关描述详细信息,请参阅 备注 。 |
IPsec static set filteraction |
修改与特定 IPsec 过滤器关联的作。 筛选器作确定流量的处理方式,例如允许或阻止流量。 Other subparameters: name guid newname description qmpfs inpass soft action qmsecmethods 有关描述详细信息,请参阅 备注 。 |
IPsec static set filterlist |
更新现有过滤器列表,该列表由定义哪些流量受 IPsec 策略影响的过滤器组成。 Other subparameters: name guid newname description 有关描述详细信息,请参阅 备注 。 |
IPsec static set policy |
更改安全通信的规则和设置,包括 IPsec 策略中设置的筛选器列表和作。 gponame - 指定设置 IPsec 策略的组策略对象 (GPO) 的名称。 Other subparameters: name guid newname description mmpfs qmpermm mmlifetime activatedefaultrule pollinginterval assign mmsecmethods 有关描述详细信息,请参阅 备注 。 |
IPsec static set rule |
修改策略中的特定 IPsec 规则。 Other subparameters: name id policy newname description filterlist filteraction tunnel conntype activate kerberos psk rootca 有关描述详细信息,请参阅 备注 。 |
IPsec static set store |
指定在配置或查看 IPsec 设置时,IPsec 命令应用于哪个配置存储(本地策略存储或基于 Active Directory 的存储)。 location - 指定 IPsec 策略的存储位置。 Options are: local:指示策略存储在本地计算机上。 domain:指示策略存储在域级策略中,该策略通过 Active Directory (AD) 进行管理。 domain= :当 设置为 locationdomain时指定域名。 替换 <string> 为您正在使用的实际域名。 仅当位置指定为 domain时,这才适用,并且它确定正在访问或更改哪个域的策略。 |
IPsec static show all |
显示 当前 配置的所有 IPsec 策略、规则、筛选器列表和作。 Other subparameters: format wide 有关描述详细信息,请参阅 备注 。 |
IPsec static show filteraction |
显示有关系统中配置的筛选器作的详细信息。 resolvedns - 指定是否解析和显示过滤器列表中 IP 地址的域名系统 (DNS) 名称。 Options are: yes:该命令尝试将 IP 地址解析为其相应的 DNS 名称。 no:该命令显示原始 IP 地址,而不尝试 DNS 解析。 Other subparameters: name rule all level format wide 有关描述详细信息,请参阅 备注 。 |
IPsec static show filterlist |
显示系统中定义的过滤器列表,这有助于确定流量如何与策略规则进行匹配。 Other subparameters: name rule all level format wide 有关描述详细信息,请参阅 备注 。 |
IPsec static show gpoassignedpolicy |
显示通过 GPO 分配的 IPsec 策略。 Other subparameters: name 有关描述详细信息,请参阅 备注 。 |
IPsec static show policy |
显示 有关特定 IPsec 策略的详细信息,包括规则、过滤器和作。 Other subparameters: name all level format wide 有关描述详细信息,请参阅 备注 。 |
IPsec static show rule |
显示指定 IPsec 规则的信息。 Other subparameters: name id all policy type level format wide 有关描述详细信息,请参阅 备注 。 |
IPsec static show store |
显示用于 IPsec 命令的当前存储上下文。 它显示命令是面向本地策略存储还是基于 Active Directory 的存储。 |
Remarks
name:这是您为 mmpolicy、qmpolicy、filteraction、filterlist、policy、rule 或 gpoassignedpolicy 设置的 名称 。
qmpermm:指定 Internet 密钥交换 (IKE) 中每个主模式会话允许的快速模式会话 数 。
mmlifetime:指定在 IKE 中重新协商主模式安全关联之前的持续时间( 以分钟为单位)。
mmsecmethods:使用 “ConfAlg-HashAlg-GroupNum”格式指定一种或多种安全方法,用空格分隔。
ConfAlg:加密算法,例如
DES或3DES.HashAlg:哈希算法,例如
MD5orSHA1.GroupNum:Diffie-Hellman 组编号,其中
1= 低,2= 中,3= DH2048。
不建议使用 DES 和 MD5。 这些加密算法仅用于向后兼容性。
soft:指定是否允许与不支持 IPsec 的计算机进行不安全的通信,使用
yes或no值。qmsec方法:使用以下格式之一指定 IPsec 安全产品/服务:
ESP[ConfAlg,AuthAlg]:k/s
AH[HashAlg]:k/s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
Where:
ConfAlg:加密算法(
DES、3DESNone或)AuthAlg:身份验证算法(
MD5、SHA1或None)HashAlg:哈希算法(
MD5或SHA1)k:生命周期(千字节)
s:生存期(以秒为单位)
srcaddr / dstaddr:分别指定源地址(网络流量的起点)和目的地址(网络流量的端点)。 Options are:
ipv4:指定 IPv4 地址。ipv6:指定 IPv6 地址。ipv4-ipv4:表示 IPv4 范围。ipv6-ipv6:表示 IPv6 范围。dns:使用 DNS 名称指定源 或 目标。server:指服务器地址。
mmpolicy:指要用于规则的主模式策略。 主模式策略定义用于建立安全、经过身份验证的通信的安全设置。
qmpolicy:指示要使用的快速模式策略,该策略定义用于在建立初始连接后维护安全流量的安全设置。
protocol:此参数允许您将规则匹配到针对特定 IP 协议。 Options are:
ANY:允许所有协议。ICMP:也由协议 编号1表示。TCP:也由协议 编号6表示。UDP:也由协议 编号17表示。RAW:表示原始套接字访问,允许应用程序直接访问较低级别的协议。 这对于需要构建自己的数据包标头或在标准传输协议之外工作的应用程序非常有用。
srcport:定义流量的源 端口号 。 此参数指定流量的来源端口。
dstport:定义流量的目标 端口号 。 此参数指定将流量发送到的端口。
镜像:指示是否应在两个方向上自动应用规则。
yes值为 或no。conntype:指定连接类型。 这将确定规则应用到的网络接口。 Options include:
lan:指定规则添加或删除仅适用于局域网 (LAN) 或无线连接。dialup:指定规则添加或删除仅适用于拨号(电话线)连接。all:指定规则添加或删除适用于所有类型的网络连接。
srcmask:定义要使用的 源 地址掩码或前缀。 此参数允许对源地址进行基于子网或前缀的匹配。
dstmask:定义要使用的 目标 地址掩码或前缀。 此参数允许基于子网或前缀的目标地址匹配。
tunneldstaddress:指定隧道目标地址,可以是
ip地址或dns名称。 设置隧道模式 IPsec 规则时使用此功能。kerberos:指示是否使用 Kerberos 身份验证。 选项是
yes或no。psk:指身份验证中使用的预共享密钥。 如果要配置的身份验证方法依赖于此参数,则必须指定此参数。 如果使用不同类型的身份验证(如证书),则不会使用该
psk参数。rootca:为根证书颁发机构提供选项。 该
certmap选项确定是否映射证书(yes或no),并excludecaname确定是否排除 CA 名称(yes或no)。description:指定对筛选器、filteraction、filterlist、策略或规则的 描述 。
qmpfs:指定是否需要快速模式完全正向保密 (PFS)。 PFS 确保即使服务器的私钥被泄露,会话密钥也不会泄露。 选项是
yes或no。inpass:指定是否应允许入站流量通过未受保护的流量。 选项是
yes或no。guid:指定与 filteraction、filterlist 或策略对应的 GUID。
newname:指定要分配给现有 filteraction、filterlist、策略或规则的新名称。
mmpfs:指定是否应使用主模式完全正向保密 (PFS)。 PFS 确保如果一个会话的密钥被泄露,它不会影响后续会话的安全性。 选项是
yes或no。id:指定要删除、配置或显示的规则的唯一 ID。
all:指定以下作之一:
删除所有动态或静态 IPsec 配置或规则。
显示 IPsec 设置的所有静态、filteraction、filterlist、策略或规则。
policy:按名称指定特定 IPsec 策略。 该
<string>值应替换为要面向的 IPsec 策略的实际名称。pollinginterval:指定系统检查 IPsec 策略中更改的时间间隔( 以秒为单位)。
assign:指定是否应将新创建或修改的 IPsec 策略设置为活动策略。 选项是
yes或no。action:此参数指定当数据包与特定 IPsec 过滤器匹配时应执行的作类型。 Options are:
permit:允许匹配的流量在没有任何 IPsec 保护的情况下通过。block:阻止匹配的流量通过。negotiate:要求匹配的流量执行 IPsec 协商以建立安全连接。
filterlist:指定您创建或希望引用的过滤器列表的 名称 (
<string>值)。filteraction:指定在 IPsec 策略中创建的作的 名称 (
<string>值)。 Options are:permit:允许匹配的流量在没有任何 IPsec 保护的情况下通过。block:阻止匹配的流量通过。negotiate:要求匹配的流量执行 IPsec 协商以建立安全连接。
activate:指定激活 (
yes) 或停用 (no) 筛选器列表中的特定规则,或 IPsec 策略的默认规则。 默认规则通常适用于与任何特定过滤器或规则不匹配的流量。activatedefaultrule:指定该策略中的默认规则从一开始就是活动 (
yes) 还是非活动 (no)。 此命令还用于修改(设置)现有 IPsec 策略以更改默认规则的激活状态。tunnel:指定通过规则通过隧道传输流量的方式的添加或修改。 Options are:
ip:此选项指定规则使用隧道的 IP 地址。 如果要配置 IPsec 隧道模式,通常会提供隧道的起始和结束 IP 地址。dns:此选项指定规则使用 DNS 名称来定义隧道的端点。 当您想要使用域名而不是静态 IP 地址设置隧道时,这非常有用。
wide:以更详细的格式显示详细信息。 选项是
yes或no。level:指定要在输出中转储的详细信息量。 Options are:
verbose:提供详细、深入的视图,可用于故障排除或综合分析。normal:显示标准信息,提供更通用的输出。
format:指定输出的表示样式。 Options are:
list:以列表格式显示信息,通常更易于阅读,以便详细检查单个条目。table:以表格格式显示信息,可以更紧凑,并一目了然地快速比较多个条目。
Examples
要添加名为“MyMM-Policy”的主模式 IPsec 策略,具有 100 个快速模式会话、4800 分钟的生存期、1800 秒的软过期和 3DES/SHA1 安全性,请运行以下命令:
netsh ipsec dynamic add mmpolicy name="MyMM-Policy" qmpermm=100 mmlifetime=4800 softsaexpirationtime=1800 mmsecmethods="3DES-SHA1"
要添加名为“MyQM-Policy”的快速模式 IPsec 策略,并启用了不安全的通信回退,设置为组 2 PFS,以及 ESP 的两种安全方法:3DES/SHA1 和 AES128/SHA256,请运行以下命令:
netsh ipsec dynamic add qmpolicy name="MyQM-Policy" soft=yes pfsgroup=GRP2 qmsecmethods="ESP:3DES-SHA1 ESP:AES128-SHA256"
要创建安全规则,允许通过 LAN 连接在源 IP 192.168.1.10 和目标 IP 192.168.1.20 之间的端口 80 上进行 TCP 流量,请使用“MainModePolicy”和“QuickModePolicy”,运行以下命令:
netsh ipsec dynamic add rule srcaddr=192.168.1.10 dstaddr=192.168.1.20 mmpolicy="MainModePolicy" qmpolicy="QuickModePolicy" protocol=TCP srcport=80 dstport=80 mirrored=no conntype=lan actioninbound=permit actionoutbound=permit
若要删除所有 IPsec 动态策略,包括主模式和快速模式策略,请运行以下命令:
netsh ipsec dynamic delete all
若要删除名为“QuickModePolicy”的特定快速模式策略,请运行以下命令:
netsh ipsec dynamic delete qmpolicy name="QuickModePolicy"
要删除允许通过 LAN 连接在源 IP 192.168.1.10 和目标 IP 192.168.1.20 之间的端口 80 上的 TCP 流量的特定 IPsec 规则,请运行以下命令:
netsh ipsec dynamic delete rule srcaddr=192.168.1.10 dstaddr=192.168.1.20 protocol=TCP srcport=80 dstport=80 conntype=lan
要将当前 IPsec 配置导出到可用于重新配置系统或具有相同设置的另一个系统的脚本文件,请运行以下命令:
netsh ipsec dump > C:\Users\Admin\MyFolder\ipsec_settings.txt
要添加一个 IPsec 过滤器,允许端口上的 80 TCP 流量从源 IP 192.168.1.10 到具有镜像配置的目标 IP 192.168.1.20 ,请运行以下命令:
netsh ipsec static add filter filterlist=MyWebTraffic srcaddr=192.168.1.10 dstaddr=192.168.1.20 protocol=TCP srcport=80 dstport=80 description="Allow web traffic" mirrored=yes
若要创建允许流量通过而不进行 IPsec 协商或加密的筛选器作,请运行以下命令:
netsh ipsec static add filteraction name=AllowTraffic description="Permit traffic without negotiation" qmpfs=no inpass=yes soft=no action=permit
若要创建新的 IPsec 筛选器列表以对相关 IPsec 筛选器进行分组,请运行以下命令:
netsh ipsec static add filterlist name=WebTrafficFilters description="Filters for managing web traffic"
若要创建名为“SecurePolicy”的 IPsec 策略,该策略使用特定的加密方法和设置来保护敏感网络流量,请运行以下命令:
netsh ipsec static add policy name=SecurePolicy description="Policy for securing sensitive traffic" mmpfs=yes qmpermm=50 mmlifetime=28800 activatedefaultrule=no pollinginterval=600 assign=yes mmsecmethods="3DES-SHA1 DHGroup2;AES128-SHA256 DHGroup14"
若要添加名为“WebServerRule”的 IPsec 规则,该规则通过使用指定的筛选器列表和作与身份验证一起实现与 Web 服务器的 LAN 连接的安全措施,请运行以下命令:
netsh ipsec static add rule name=WebServerRule policy=SecurePolicy filterlist=WebTrafficFilters filteraction=AllowTraffic tunnel=no conntype=lan activate=yes description="Secures web server traffic with specified filters and Kerberos authentication" kerberos=yes
若要删除在筛选器列表“MyFilterList”中管理源 IP 192.168.1.10 和目标 IP 192.168.1.20 之间 TCP 流量的特定 IPsec 筛选器,请运行以下命令:
netsh ipsec static delete filter filterlist=MyFilterList srcaddr=192.168.1.10 dstaddr=192.168.1.20 protocol=TCP mirrored=yes srcport=80 dstport=80
若要从策略“SecurePolicy”中删除名为“WebServerRule”的 IPsec 规则,请运行以下命令:
netsh ipsec static delete rule name=WebServerRule policy=SecurePolicy
要将所有 IPsec 策略导出到名为“MyPolicy.txt”的文件以进行备份或传输到另一个系统,请运行以下命令:
netsh ipsec static exportpolicy file=C:\Policies\MyPolicy.txt
要为 IPsec 命令启用批处理模式,该模式允许将多个 IPsec作作为单个批处理执行以提高效率,请运行以下命令:
netsh ipsec static set batch mode=enable
要在“SecurePolicy”策略中使用特定的安全方法和身份验证设置设置默认 IPsec 规则,请运行以下命令:
netsh ipsec static set defaultrule policy=SecurePolicy qmpfs=yes activate=yes qmsecmethods="3DES-SHA1;AES128-SHA256" kerberos=yes psk=yourPreSharedKey
若要通过将名为“OldActionName”重命名为“NewActionName”并设置特定的安全行为来修改名为“OldActionName”的现有 IPsec 筛选器作,请运行以下命令:
netsh ipsec static set filteraction name=OldActionName newname=NewActionName description="Updated filter action" qmpfs=yes inpass=no soft=no action=negotiate qmsecmethods="AES256-SHA1;AES128-SHA256"
若要通过将名为“OldListName”重命名为“NewListName”并更新其说明来修改名为“OldListName”的现有 IPsec 筛选器列表,请运行以下命令:
netsh ipsec static set filterlist name=OldListName newname=NewListName description="Updated filter list for enhanced security"
若要更新名为“OldPolicyName”的现有 IPsec 策略,方法是将其重命名为“NewPolicyName”,并降低重新身份验证频率并增强安全设置,请运行以下命令:
netsh ipsec static set policy name=OldPolicyName newname=NewPolicyName description="Updated policy for enhanced security measures" mmpfs=yes qmpermm=100 mmlifetime=36000 activatedefaultrule=yes pollinginterval=1200 assign=no mmsecmethods="AES256-SHA1 DHGroup14;AES128-SHA256 DHGroup2"
若要更新名为“OldRuleName”的现有 IPsec 规则,方法是在策略“SecurePolicy”中将其重命名为“NewRuleName”,通过 IP 隧道传输 LAN 流量并合并特定的安全配置,请运行以下命令:
netsh ipsec static set rule name=OldRuleName policy=SecurePolicy newname=NewRuleName description="Updated rule for enhanced server protection" filterlist=WebTrafficFilters filteraction=NegotiateSecurity tunnel=ip conntype=lan activate=yes kerberos=yes psk=mySecureKey
若要将 IPsec 策略存储在域位置,请运行以下命令:
netsh ipsec static set store location=domain domain=MyDomain.com
要以列表格式显示所有 IPsec 策略并包含简洁的详细信息,请运行以下命令:
netsh ipsec static show all format=list wide=no
要以表格格式显示有关特定 IPsec 筛选器作的详细信息,并详细输出,请运行以下命令:
netsh ipsec static show filteraction name="ExampleFilterAction" level=verbose format=table wide=yes
若要以 DNS 名称未解析为 IP 的列表格式显示有关所有具有详细输出的 IPsec 筛选器列表的信息,请运行以下命令:
netsh ipsec static show filterlist all level=verbose format=list resolvedns=no wide=yes
若要显示分配给名称为“MyGPO”的 GPO 的 IPsec 策略,请运行以下命令:
netsh ipsec static show gpoassignedpolicy name=MyGPO
要以详细的列表格式显示有关名为“MyPolicy”的特定 IPsec 策略的详细信息,并且不限制输出宽度,请运行以下命令:
netsh ipsec static show policy name=MyPolicy all level=verbose format=list wide=yes
要以详细模式显示有关名为“MyRule”且 ID 为 与 123 策略“MyPolicy”关联的 IPsec 规则的详细信息,并格式化为没有宽度限制的表,请运行以下命令:
netsh ipsec static show rule name=MyRule id=123 all policy=MyPolicy type=tunnel level=verbose format=table wide=yes