HOW TO:如何在 Windows 中配置 IPSec 隧道

您可以在隧道模式中使用“IP 安全”(IPSec) 来封装“Internet 协议”(IP) 数据包,而且可以选择将它们加密。在 Windows Server 2003 中使用 IPSec 隧道模式(有时称为“纯 IPSec 隧道”)的主要原因是为了能够与那些不支持“第 2 层隧道协议”(L2TP)/IPSec 或 PPTP 虚拟专用网络 (***) 隧道技术的非 Microsoft 路由器或网关进行互操作。
Windows Server 2003 在隧道的两个终结点都有静态 IP 地址的情况下支持 IPSec 隧道。这主要适用于网关到网关的情形。不过,它也可以在网关或路由器与服务器之间的专用网络安全方案中使用。(例如,一个 Windows Server 2003 路由器,它从其外部接口将通信流路由到一台基于 Windows Server 2003 的内部计算机,该计算机通过建立一条到为外部客户端提供服务的内部服务器的 IPSec 隧道来保护内部路径的安全)。

不支持将 Windows Server 2003 IPSec 隧道用于客户端远程访问 ***,因为目前“Internet 工程任务组 (IETF) IPSec 请求注释 (RFC)”没有在“Internet 密钥交换”(IKE) 协议中为客户端到网关的连接提供远程访问解决方案。IETF RFC 2661“第 2 层隧道协议”(L2TP) 是由 Cisco、Microsoft 和其他公司为提供客户端远程访问 *** 连接而专门开发的。在 Windows Server 2003 中,使用自动生成的 IPSec 策略来保护客户端远程访问 *** 连接,此策略在 L2TP 隧道类型被选中时使用 IPSec 传输模式(不是隧道模式)。

Windows Server 2003 IPSec 隧道也不支持协议和端口特定的隧道。虽然 Microsoft 管理控制台 (MMC) IPSec 策略管理单元十分通用,并且允许您将任何类型的筛选器与隧道关联,但您还是要确保在为隧道规则指定筛选器时只使用地址信息。

有关 IPSec 和 IKE 协议如何工作的更多信息,请参阅 Microsoft Windows Server 2003 Resource Kit

本文介绍了如何在 Windows Server 2003 网关上配置 IPSec 隧道。由于 IPSec 隧道只保护在您配置的 IPSec 筛选器中指定的通信流,所以本文还介绍了如何在“路由和远程访问”服务中配置筛选器以防止接收或转发隧道外的通信流。为便于按配置步骤进行操作,本文使用以下方案:

收起该表格展开该表格
NetA-
WIN2003intIP-
-Windows Server 2003 网关-
-WIN2003extIP-
-Internet- -非 Microsoft 网关-
-3rdExtIP-
-NetB
-3rdIntIP

NetA 是 Windows Server 2003 网关内部网络的网络 ID。

WIN2003intIP 是分配给 Windows Server 2003 网关内部网络适配器的 IP 地址。

WIN2003extIP 是分配给 Windows Server 2003 网关外部网络适配器的 IP 地址。

3rdExtIP 是分配给非 Microsoft 网关外部网络适配器的 IP 地址。

3rdIntIP 是分配给非 Microsoft 网关内部网络适配器的 IP 地址。

NetB 是非 Microsoft 网关内部网络的网络 ID。

目标是在来自 NetA 的通信流需要路由到 NetB 或者来自 NetB 的通信流需要路由到 NetA 时,让 Windows Server 2003 网关和非 Microsoft 网关建立一条 IPSec 隧道,以便通过安全的会话来路由通信流。

如果要配置一个 IPSec 策略,您必须建立两个筛选器:一个用于匹配从 NetANetB(隧道 1)的数据包,另一个用于匹配从 NetBNetA(隧道 2)的数据包。您必须配置筛选器操作以指定如何保护隧道安全(隧道由规则表示,因此要创建两个规则)。

创建 IPSec 策略

通常,Windows Server 2003 网关不是域成员,因此需要创建本地 IPSec 策略。如果 Windows Server 2003 网关是域成员,该域默认会将 IPSec 策略应用到域内的所有成员,这样,Windows Server 2003 网关就不能有本地 IPSec 策略。在此情况下,您可以在 Active Directory 中创建一个组织单位,使 Windows Server 2003 网关成为该组织单位的成员,并将 IPSec 策略指派到该组织单位的“组策略对象”(GPO)。有关更多信息,请参阅 Windows Server 2003 联机帮助的“创建、修改和指派 IPSec 策略”部分。

  1. 单击“开始”,“运行”,然后键入 secpol.msc 以启动“IP 安全策略管理”管理单元。
  2. 右键单击“本地计算机上的 IP 安全策略”,然后单击“创建 IP 安全策略”。
  3. 单击“下一步”,然后键入策略的名称(例如 IPSec Tunnel with non-Microsoft Gateway)。单击“下一步”。

    注意:您也可以在“说明”框中键入信息。

  4. 单击清除“激活默认响应规则”复选框,然后单击“下一步”。
  5. 单击“完成”(让“编辑”复选框保持选中状态)。

注意:IPSec 策略是使用 IKE 主模式的默认设置创建的。IPSec 隧道由两个规则组成。每个规则指定一个隧道终结点。因为有两个隧道终结点,所以就有两个规则。每个规则中的筛选器必须代表发送到此规则的隧道终结点的 IP 数据包中的源和目标 IP 地址。

建立从 NetA 到 NetB 的筛选器列表

  1. 在新策略属性中,单击“使用添加向导”复选框,将其清除,然后单击“添加”以创建新规则。
  2. 单击“IP 筛选器列表”选项卡,然后单击“添加”。
  3. 为筛选器列表键入相应的名称,单击“使用添加向导”复选框,将其清除,然后单击“添加”。
  4. 在“源地址”框中,单击“一个特定的 IP 子网”,然后键入 NetA 的“IP 地址”和“子网掩码”。
  5. 在“目标地址”框中,单击“一个特定的 IP 子网”,然后键入 NetB 的“IP 地址”和“子网掩码”。
  6. 单击“镜像”复选框,将其清除。
  7. 单击“协议”选项卡。一定要将“协议类型”设置为“任何”,因为 IPSec 隧道不支持协议或端口特定的筛选器。
  8. 如果要为筛选器键入说明,请单击“说明”选项卡。通常,为筛选器和筛选器列表指定相同的名称不失为一个良策。当隧道为活动状态时,筛选器名称显示在 IPSec 监视器中。
  9. 单击“确定”。

建立从 NetB 到 NetA 的筛选器列表

  1. 单击“IP 筛选器列表”选项卡,然后单击“添加”。
  2. 为筛选器列表键入相应的名称,单击“使用添加向导”复选框,将其清除,然后单击“添加”。
  3. 在“源地址”框中,单击“一个特定的 IP 子网”,然后键入 NetB 的“IP 地址”和“子网掩码”。
  4. 在“目标地址”框中,单击“一个特定的 IP 子网”,然后键入 NetA 的“IP 地址”和“子网掩码”。
  5. 单击“镜像”复选框,将其清除。
  6. 如果要为筛选器键入说明,请单击“说明”选项卡。
  7. 单击“确定”。

为 NetA 到 NetB 隧道配置规则

  1. 单击“IP 筛选器列表”选项卡,然后单击您创建的筛选器列表,将其选中。
  2. 单击“隧道设置”选项卡,单击“隧道终结点由此 IP 地址指定”框,然后键入 3rdextip(此处的 3rdextip 是分配给非 Microsoft 网关外部网络适配器的 IP 地址)。
  3. 单击“连接类型”选项卡,单击“所有网络连接”(如果 WIN2003extIP 不是 ISDN、PPP 或直连串行连接,则单击“局域网 (LAN)”)。
  4. 单击“筛选器操作”选项卡,单击“使用添加向导”复选框,将其清除,然后单击“添加”以创建新的筛选器操作,因为默认操作允许明文形式的传入通信流。
  5. 保持“协商安全”选项为启用状态,单击“接受不安全的通讯,但总是用 IPSec 响应”复选框,将其清除。只有这样做才能确保安全操作。

    注意:不应选中“筛选器操作”对话框底部的任何复选框作为应用到隧道规则的筛选器操作的初始配置。如果隧道的另一端也配置为使用“完全向前保密”(PFS),则只有“使用会话密钥完全向前保密 (PFS)”复选框是有效的隧道设置。

  6. 单击“添加”,保持“完整性和加密”选项为选中状态(或者,如果要定义特定的算法和会话密钥寿命,则可选择“自定义(专家用户)”选项)。“封装式安全措施负载”(ESP) 是两个 IPSec 协议之一。
  7. 单击“确定”。单击“常规”选项卡,键入新筛选器操作的名称(例如 IPSec tunnel:ESP DES/MD5),然后单击“确定”。
  8. 单击刚创建的筛选器操作,将其选中。
  9. 单击“身份验证方法”选项卡,配置所需的身份验证方法(如果为了进行测试,则使用“预共享密钥”,否则使用“证书”)。如果隧道的两个终结点都在受信任域中,并且在隧道的 IKE 协商期间(在建立隧道前),隧道的两个终结点都可以访问网络上每个受信任域的 IP 地址(域控制器的 IP 地址),那么从技术上说,Kerberos 是可行的。不过这种情况很少见。
  10. 单击“关闭”。

为 NetB 到 NetA 隧道配置规则

  1. 在 IPSec 策略属性中,单击“添加”以创建新规则。
  2. 单击“IP 筛选器列表”选项卡,单击您创建的筛选器列表(从 NetBNetA),将其选中。
  3. 单击“隧道设置”选项卡,单击“隧道终结点由此 IP 地址指定”框,然后键入 WIN2003extIP(此处的 WIN2003extIP 是分配给 Windows Server 2003 网关外部网络适配器的 IP 地址)。
  4. 单击“连接类型”选项卡,单击“所有网络连接”(如果 WIN2003extIP 不是 ISDN、PPP 或直连串行连接,则单击“局域网 (LAN)”)。与筛选器匹配的接口类型上的所有出站通信流都将尝试通过隧道传输到在规则中指定的隧道终结点。与筛选器匹配的入站通信流将被丢弃,因为它的接收应受到 IPSec 隧道的安全保护。
  5. 单击“筛选器操作”选项卡,然后单击您创建的筛选器操作,将其选中。
  6. 单击“身份验证方法”选项卡,然后配置在第一个规则中使用的同一种方法(两个规则中必须使用相同的方法)。
  7. 单击“确定”,确保您创建的这两个规则在策略中都已启用,然后再次单击“确定”。

将新的 IPSec 策略指派到 Windows Server 2003 网关

在“本地计算机 MMC”管理单元上的“IP 安全策略”中,右键单击您的新策略,然后单击“指定”。该策略旁边的文件夹图标中将出现一个绿色箭头。

在指派完策略之后,您就有了两个附加的活动筛选器(“路由和远程访问”自动创建用于 L2TP 通信流的 IPSec 筛选器)。要查看活动筛选器,请在命令提示符下键入以下命令:

netdiag /test:ipsec /debug

您可以选择将此命令的输出重定向到文本文件,以便通过键入以下命令使用文本编辑器(例如记事本)来查看它:

netdiag /test:ipsec /debug > 文件名.txt

安装 Microsoft Windows Server 2003“支持工具”后即可使用“netdiag”命令。要安装“支持工具”,请定位到 Windows Server 2003 CD-ROM 上的 Support\Tools 文件夹,右键单击 Suptools.msi 文件,然后单击“安装”。安装之后,您可能需要从 %SystemRoot%\Program Files\Support Tools 文件夹(其中 %SystemRoot% 是安装 Windows Server 2003 的驱动器)运行“netdiag”命令。

隧道筛选器类似于下面的示例:

Local IPSec Policy Active:'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 
There are two filters
From NetA to NetB
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey:0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetA Src Mask:-subnet mask-
Dest Addr:NetB Dest Mask:-subnet mask-
Tunnel Addr:3rdExtIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags :Outbound
From NetB to NetA
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey:0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetB Src Mask:-subnet mask-
Dest Addr:NetA Dest Mask:-subnet mask-
Tunnel Addr:W2KextIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags:Inbound

配置路由和远程访问筛选

如果您要阻止源或目标地址与 NetANetB 不匹配的通信流,则在“路由和远程访问 MMC”中为外部接口创建一个输出筛选器,它将保留从 NetANetB 的数据包,但丢弃所有其他通信流。另外再创建一个输入筛选器,它将保留从 NetBNetA 的数据包,但丢弃所有其他通信流。您还必须允许发往/来自 WIN2003extIP3rdExtIP 的通信流,以允许在创建隧道时执行 IKE 协商。“路由和远程访问”筛选是在 IPSec 之上执行的。您不必特别允许 IPSec 协议,因为它从不到达 IP 数据包筛选器层。以下示例是 Windows Server 2003 TCP/IP 结构非常简单的表现形式:

应用程序层
传输层 (TCP|UDP|ICMP|RAW) 
---- 网络层开始 ---- 
IP 数据包筛选器(执行“NAT/路由和远程访问”筛选)
IPSec(实现 IPSec 筛选器)
碎片处理/重新汇编
---- 网络层结束 ------ 
NDIS 接口
数据链接层
物理层

要在“路由和远程访问”服务中配置筛选器,请加载“路由和远程访问 MMC”并执行以下步骤:

  1. 在“路由和远程访问”下展开服务器树,展开“IP 路由”子树,然后单击“常规”。
  2. 右键单击“WIN2003extIP”,然后单击“属性”。
  3. 单击“出站筛选器”,然后单击“新建”。
  4. 单击“源网络”和“目标网络”复选框,将其选中。
  5. 在“源网络”框中,键入 NetA 的“IP 地址”和“子网掩码”。
  6. 在“目标网络”框中,键入 NetB 的“IP 地址”和“子网掩码”。
  7. 保留协议的现有设置“任何”,然后单击“确定”。
  8. 单击“新建”,然后单击“源网络”和“目标网络”复选框,将其选中。
  9. 在“源网络”框中,键入 WIN2003extIP 的“IP 地址”和“子网掩码”。
  10. 在“目标网络”框中,键入 3rdExtIP 的“IP 地址”和“子网掩码”(对 IKE 协商使用子网掩码 255.255.255.255)。
  11. 保留协议的现有设置“任何”,然后单击“确定”。
  12. 单击“丢弃所有的数据包,满足下面条件的除外”复选框,将其选中,然后单击“确定”。
  13. 单击“输入筛选器”,单击“添加”,然后单击“源网络”和“目标网络”复选框,将其选中。
  14. 在“源网络”框中,键入 NetB 的“IP 地址”和“子网掩码”。
  15. 在“目标网络”框中,键入 NetA 的“IP 地址”和“子网掩码”。
  16. 保留协议的现有设置“任何”,然后单击“确定”。
  17. 单击“新建”,然后单击“源网络”和“目标网络”复选框,将其选中。
  18. 在“源网络”框中,键入 3rdExtIP 的“IP 地址”和“子网掩码”。
  19. 在“目标网络”框中,键入 WIN2003extIP 的“IP 地址”和“子网掩码”(对 IKE 协商使用子网掩码 255.255.255.255)。
  20. 保留协议的现有设置“任何”,然后单击“确定”。
  21. 单击“丢弃所有的数据包,满足下面条件的除外”复选框,将其选中,然后单击“确定”。

    注意:如果“路由和远程访问”服务器具有多个连接到 Internet 的接口,或者如果您有多个 IPSec 隧道,请为每个 Internet 接口的每条 IPSec 隧道(每个源和目标 IP 子网)创建“路由和远程访问”免除筛选器。

在路由和远程访问中配置静态路由

Windows Server 2003 网关在其 NetB 路由表中必须有一个路由。要配置此路由,请在“路由和远程访问 MMC”中添加静态路由。如果 Windows Server 2003 网关是一个多主网关,即在同一外部网络(或两个或更多个可到达目标隧道 IP 3rdExtIP 的网络)上有两个或更多个网络适配器,则存在以下可能性:

  • 出站隧道通信流占用一个接口,在另一不同的接口上接收入站隧道通信流。即使您使用 IPSec 卸载网络适配器,在不同接口(即:不是发送出站隧道通信流的接口)上接收时,也不允许接收网络适配器处理硬件中的加密,因为只有出站接口才能卸载“安全关联”(SA)。
  • 出站隧道通信流占用的接口不同于具有隧道终结点 IP 地址的接口。隧道传输数据包的源 IP 是出站接口上的源 IP。如果此 IP 不是隧道另一端期望的源 IP,将无法建立隧道(或者,如果隧道已建立,这些数据包会被隧道的远程终结点丢弃)。

为避免在不正确的接口发送出站隧道通信流,请定义一个静态路由,将发往 NetB 的通信流绑定到相应的外部接口:

  1. 在“路由和远程访问 MMC”中,展开服务器树,展开“IP 路由”子树,右键单击“静态路由”,然后单击“新建静态路由”。
  2. 在“接口”框中,单击“WIN2003extIP”(如果始终要将此接口用于出站隧道通信流)。
  3. 键入 NetB 的“目标网络”和“网络掩码”。
  4. 在“网关”框中,键入 3rdextip
  5. 将“跃点数”值的设置保留为它的默认值 (“1”),然后单击“确定”。

    注意:为了解决在不正确的接口上接收入站隧道通信流这一问题,请不要使用路由协议公布该接口的 IP 地址。并且,按照本文“配置路由和远程访问筛选”部分的说明,在“路由和远程访问”服务中配置筛选器,以丢弃发往 NetAWIN2003extIP 的数据包。

测试 IPSec 隧道

您可以这样来启动隧道:从 NetA 上的计算机向 NetB 上的计算机(或从 NetBNetA)发出 ping 命令。如果您正确地创建了筛选器并指派了正确的策略,这两个网关将建立一条 IPSec 隧道,以便通过 ping 命令以加密格式发送 ICMP 通信流。即使 ping 命令能够执行,您也应当确认 ICMP 通信流在这两个网关之间是否以加密格式发送。您可以使用以下工具实现这一点。

启用登录事件和对象访问审核

这样可以在安全日志中记录事件,让您知道是否尝试进行了 IKE 安全关联协商以及协商是否成功。

  1. 使用“组策略 MMC”管理单元,依次展开“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“审核策略”。
  2. 启用“审核登录事件”和“审核对象访问”的“成功”及“失败”审核。

    注意:如果 Windows Server 2003 网关是域的成员,并且您使用域策略进行审核,那么域策略将取代本地策略。在此情况下,请修改域策略。

IP 安全监视器

“IP 安全监视器”控制台显示 IPSec 统计数据和活动的安全关联 (SA)。在尝试使用 ping 命令建立隧道后,您可以查看是否创建了 SA(如果隧道创建成功,则会显示 SA)。如果 ping 命令执行成功但没有出现 SA,则表明 ICMP 通信流不受 IPSec 保护。如果您看到一个以前不存在的“软关联”,则表明 IPSec 同意此通信流以“明文”形式传送(不加密)。 有关“软关联”的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

234580(http://support.microsoft.com/kb/234580/EN-US/ ) “Soft Associations” Between IPSec-Enabled and Non-IPSec-Enabled Computers

注意:在 Microsoft Windows XP 和 Windows Server 2003 系列中,“IP 安全监视器”是以 Microsoft Management Console (MMC) 控制台的方式实现的。要添加“IP 安全监视器”管理单元,请按照下列步骤操作:

  1. 单击“开始”,单击“运行”,键入“MMC”,然后单击“确定”。
  2. 单击“文件”,单击“添加/删除管理单元”,然后单击“添加”。
  3. 单击“IP 安全监视器”,然后单击“添加”。
  4. 单击“关闭”,然后单击“确定”。

网络监视器

在尝试 ping 计算机时,您可以使用“网络监视器”捕获通过 WIN2003extIP 接口的通信流。如果您在捕获文件中能够看到这样的 ICMP 数据包:它们具有的源 IP 地址和目标 IP 地址对应于您发出 ping 命令的计算机和您 ping 的计算机的 IP 地址,则表明 IPSec 没有保护通信流。如果没有看到此类 ICMP 通信流,而是看到了 ISAKMP 和 ESP 数据包,则表明 IPSec 在保护通信流。如果您只使用“验证头”(AH) IPSec 协议,则会看到 ISAKMP 通信流后面跟着 ICMP 数据包。ISAKMP 数据包是实际发生的 IKE 协商,而 ESP 数据包是由 IPSec 协议加密的负载数据。

要安装“网络监视器”,请按照下列步骤操作:

  1. 依次单击“开始”、“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”。
  2. 在“Windows 组件”向导中,单击“管理和监视工具”,然后单击“详细信息”。
  3. 在“管理和监视工具的子组件”中,单击“网络监视工具”复选框,将其选中,然后单击“确定”。
  4. 如果提示您提供其他文件,则插入操作系统的安装 CD,或键入这些文件的网络路径。

实际测试

  1. 在您尝试从一个子网上的某台计算机 ping 另一台计算机(NetANetB)之前,请先在命令提示符下键入 ipconfig。在 TCP/IP 堆栈中初始化的网络接口将显示出来。
  2. 启动“IP 安全监视器”工具。
  3. 启动“网络监视器”,然后在“捕获”菜单上,单击“网络”。单击 WIN2003extIP 接口,然后单击“确定”。
  4. 尝试 ping 该计算机。在建立 IPSec 隧道的过程中,第一部分 ICMP 回应数据包可能会超时。如果 ping 命令不成功,请检查安全日志和系统日志。
  5. 如果 ping 命令成功,则停止“网络监视器”捕获,然后看一看 ICMP 通信流是以“明文”形式发送的,还是只能看到 ISAKMP 和 IPSec 协议数据包。检查“IP 安全监视器”,查看是否使用您创建的 NetANetB 的筛选器创建了 SA。另外还要检查安全日志。您应当能够看到事件 ID 541(已建立 IKE 安全关联)。
  6. 在命令提示符下再次键入 ipconfig,以验证在隧道使用期间没有其他 TCP/IP 接口。出现这种现象是因为 IPSec 在保护通过物理接口 (WIN2003extIP) 的通信流。

    如果远程网关也是 Windows Server 2003 节点,请记住以下信息:

    • NetA 中客户端的默认网关是 WIN2003extIPNetB 中客户端的默认网关是 3rdIntIP
    • IPSec 隧道不更改 Windows Server 2003 网关中通信的路由方式。(该网关能够路由数据包是因为在“路由和远程访问”中启用了路由。实际的 LAN 或 WAN 接口跃点数仍在使用中。)

参考:

有关“路由和远程访问”服务的更多信息,请参阅 Windows Server 2003 联机帮助。

要查看 Windows Server 2003 Resource Kit 及其他技术文档,请访问以下 Microsoft 网站:

http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)

有关 IETF 标准方面的信息,请访问以下网站:

出处:http://support.microsoft.com/kb/816514/zh-cn

How Block IPs Using Windows IPSec (用IPSec在Windows中限制IP)

——————————————————————————–

Here is something that I would like to share with every one and quite rare to find out. This tutorial will show how to block IPs on Windows server without firewall using IPSec:

Click ‘Start’ > ‘Run’ >type ‘MMC’ press ok.

In the console click > ‘File’ > ‘Add/Remove Snap in’

In the ‘Standalone Tab’ click The ‘add’ button

Seclect ‘IP Security Policy Managment’ > ‘ADD’ > ‘Local Computer’ > ‘finish’ > ‘close’ > ‘ok’

You should now be back to the console.

In the left frame right click ‘IP security policies on local computer’ > ‘Create IP security policy’

Click Next and then name your policy ‘Block IP’ and type a description.

Click ‘Next’ then leave ‘activate’ ticked then click ‘Next’

leave the ‘edit properties ticked and click ‘Finish’

You should now have the properties window open.

Click ‘ADD’ then click ‘Next’ to continue.

Leave ‘This rule does not specify a tunnel’ selected and click ‘next’

Leave ‘all network connections’ selected and click ‘next’

You should now be on the IP filter list. You need to create a new filter, so dont select any of the default ones. Click ‘ADD’

Type a Name for your list, call it ‘IP block list’
Type a description in, can be same as name.
Click ‘ADD’ then click ‘Next’ to continue.

In the description box type a description. As its the first IP you are blocking call it ‘IP1’ or ‘IP Range 1’
Leave ticked the ‘Mirrored. Match packets with the exact opposite source and destination addresses’
Click ‘Next’

The ‘Source address’ should be left as ‘My IP address’ click ‘Next’

You can now select ‘A Specific IP address’ or ‘A Specific Subnet’ for the Destination address.
Type in the IP address you want to block and if blocking a subnet type in the subnet block. Click ‘next’

Leave the protocol type as ‘Any’ and click ‘Next’ and then ‘Finish’

You have now blocked your first IP or IP range.

One of the eUKhost blogs has this explained in more comprehensive way. Link: ASP SQL Blog

*****UPADTE*****
Now all these has been automated into a script. You do not have to worry about manually blocking IP on Windows server, you can just download the package below, run the setup and you are done. It will scan your server in every 5 mins and block IP address with more than 100 connection. Also it will not block host server IP address as well as those added in whitelist.

发表评论