ipseccmd IP安全策略命令解析
2020-07-14 13:40:40
供稿:網(wǎng)友
IPSec
首先需要指出的是,IPSec和TCP/IP篩選是不同的東西��,大家不要混淆了���。TCP/IP篩選的功能十分有限�,遠(yuǎn)不如IPSec靈活和強(qiáng)大����。下面就說(shuō)說(shuō)如何在命令行下控制IPSec��。
XP系統(tǒng)用ipseccmd 本站附件下載
2000下用ipsecpol��。
WIN2003下直接就是IPSEC命令���。遺憾的是���,它們都不是系統(tǒng)自帶的��。ipseccmd在xp系統(tǒng)安裝盤(pán)的SUPPORT/TOOLS/SUPPORT.CAB中����,ipsecpol在2000 Resource Kit里��。而且�,要使用ipsecpol還必須帶上另外兩個(gè)文件:ipsecutil.dll和text2pol.dll。三個(gè)文件一共119KB�����。
winxp命令行下ipsec屏蔽不安全的端口
IPSec叫做Internet協(xié)議安全�����。主要的作用是通過(guò)設(shè)置IPsec規(guī)則�,提供網(wǎng)絡(luò)數(shù)據(jù)
包的加密和認(rèn)證��。不過(guò)這樣高級(jí)的功能我無(wú)緣消受�����,只是用到了篩選功能罷了�����。通過(guò)設(shè)置規(guī)則進(jìn)行數(shù)據(jù)包的篩選器��,可以屏蔽不安全的端口連接���。
你可以運(yùn)行g(shù)pedit.msc,在Windows設(shè)置>>計(jì)算機(jī)設(shè)置>>IP安全設(shè)置中進(jìn)行手工設(shè)
置����。更加簡(jiǎn)單的方法是使用ipseccmd命令。
ipseccmd在WindowsXP中沒(méi)有默認(rèn)安裝�,他在XP系統(tǒng)安裝盤(pán)的
SUPPORT/TOOLS/SUPPORT.CAB中��。在Windows2000中它的名字叫做ipsecpol�,默認(rèn)
應(yīng)該也沒(méi)有安裝,你自己找找看吧���。
使用ipseccmd設(shè)置篩選���,它的主要作用是設(shè)置你的篩選規(guī)則���,為它指定一個(gè)名稱,
同時(shí)指定一個(gè)策略名稱,所謂策略不過(guò)是一組篩選規(guī)則的集合而已����。比如你要封
閉TCP135端口的數(shù)據(jù)雙向收發(fā),使用命令:
ipseccmd -w REG -p "Block default ports" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x
這里我們使用的是靜態(tài)模式����,常用的參數(shù)如下:
-w reg 表明將配置寫(xiě)入注冊(cè)表,重啟后仍有效�。
-p 指定策略名稱,如果名稱存在�����,則將該規(guī)則加入此策略�����,否則創(chuàng)建一個(gè)���。
-r 指定規(guī)則名稱��。
-n 指定操作���,可以是BLOCK、PASS或者INPASS�����,必須大寫(xiě)�。
-x 激活該策略��。
-y 使之無(wú)效��。
-o 刪除-p指定的策略����。
其中最關(guān)鍵的是-f。它用來(lái)設(shè)置你的過(guò)濾規(guī)則���,格式為
A.B.C.D/mask:port=A.B.C.D/mask:port:protocol�。其中=前面的是源地址,后面
是目的地址����。如果使用+����,則表明此規(guī)則是雙向的。IP地址中用*代表任何IP地址���,
0代表我自己的IP地址。還可以使用通配符�����,比如144.92.*.* 等效于
144.92.0.0/255.255.0.0��。使用ipseccmd /?可以獲得它的幫助���。
如果希望將規(guī)則刪除,需要先使用-y使之無(wú)效�����,否則刪除后它還會(huì)持續(xù)一段時(shí)間。
參考下面代碼清單�。
好了,這樣你就可以使用ipsec根據(jù)自己的需要方便得自己定制你的篩選規(guī)則了����。
如果有不安全的端口���,或者你不太喜歡的IP地址,你就可以把它們封鎖在你的大
門(mén)之外����。
現(xiàn)在,你的機(jī)器本身已經(jīng)基本比較安全了����,不必再一接上網(wǎng)線就提心吊膽了。今天
天氣還不錯(cuò)���,趕快放心大膽的去網(wǎng)上沖浪去吧����,海岸上有漂亮的貝殼,不要忘了
撿幾顆送給我哦�。
=========================麻煩一點(diǎn)的講解=============================
Ipseccmd
在目錄服務(wù)或本地(遠(yuǎn)程)注冊(cè)表中配置 Internet 協(xié)議安全 (IPSec) 策略。Ipseccmd 是與 IP 安全策略 Microsoft 管理控制臺(tái) (MMC) 管理單元功能相同的另一種命令行管理工具���,具有三種模式:動(dòng)態(tài)模式 (dynamic mode)��、靜態(tài)模式 (static mode) 和查詢模式 (query mode)����。
若要查看該命令語(yǔ)法�,請(qǐng)單擊以下命令:
ipseccmd dynamic mode
可以利用 Ipseccmd 動(dòng)態(tài)模式將匿名規(guī)則添加到現(xiàn)有的 IPSec 策略中�,方法是將這些規(guī)則添加到 IPSec 安全策略數(shù)據(jù)庫(kù)。即使重新啟動(dòng) IPSEC 服務(wù)后���,所添加的規(guī)則也會(huì)存在。使用動(dòng)態(tài)模式的好處在于所添加的規(guī)則可以與域中的策略共存�。動(dòng)態(tài)模式是 Ipseccmd 的默認(rèn)模式����。
語(yǔ)法
要添加規(guī)則,可以使用以下語(yǔ)法:
ipseccmd [//ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}]
要?jiǎng)h除所有動(dòng)態(tài)策略�����,請(qǐng)使用如下語(yǔ)法:
ipseccmd -u
參數(shù)
//computername
指定要向其添加規(guī)則的遠(yuǎn)程計(jì)算機(jī)的名稱。
-f FilterList
第一個(gè)語(yǔ)法要求�。為快速模式安全關(guān)聯(lián) (SAs) 指定一個(gè)或多個(gè)由空格分割的篩選器規(guī)格����。每個(gè)篩選器規(guī)格都定義一套受該規(guī)則影響的網(wǎng)絡(luò)流量。
-n NegotiationPolicyList
指定由篩選器列表定義的安全流量的一個(gè)或多個(gè)安全方法(由空格分割)����。
-t TunnelAddr
指定隧道模式為 IP 地址或 DNS 域名的隧道終結(jié)點(diǎn)。
-a AuthMethodList
指定一個(gè)或多個(gè)身份認(rèn)證方法(由空格分割)�。
-1s SecurityMethodList
指定一個(gè)或多個(gè)密鑰交換安全方法(由空格分割)。
-1k MainModeRekeySettings
指定主模式 SA rekey設(shè)置����。
-1p
啟用主密鑰完全向前保密��。
-1f MMFilterList
指定一個(gè)或多個(gè)主模式 Sas 的篩選器規(guī)格(由空格分割)����。
-1e SoftSAExpirationTime
指定軟 SAs 的過(guò)期時(shí)間(單位為:秒)���。
-soft
啟用軟 SAs����。
-confirm
指定在添加規(guī)則或策略之前顯示確認(rèn)提示�����。
{-dialup | -lan}
指定規(guī)則是否僅應(yīng)用于遠(yuǎn)程訪問(wèn)或撥號(hào)連接���,或是否僅應(yīng)用于局域網(wǎng) (LAN) 連接。
-u
第二個(gè)語(yǔ)法要求�。指定刪除所有的動(dòng)態(tài)規(guī)則。
/?
在命令提示符顯示幫助�����。
注釋
Ipseccmd 不可用于配置運(yùn)行 Windows 2000 計(jì)算機(jī)的規(guī)則���。
如果不指定 ComputerName 參數(shù)���,則該規(guī)則將添加到本地計(jì)算機(jī)�。
如果使用了 ComputerName 參數(shù),則此參數(shù)必須在其他所有參數(shù)之前使用,而且必須具有欲向其添加規(guī)則的計(jì)算機(jī)的管理員權(quán)限��。
對(duì)于 -f 參數(shù)���,一種篩選器規(guī)格是由空格分割且由如下格式定義的一個(gè)或多個(gè)篩選器:
SourceAddress/SourceMask:SourcePort=DestAddress/DestMask:DestPort:Protocol
SourceMask�、SourcePort����、DestMask 和 DestPort 是可選項(xiàng)�����。如果忽略這些參數(shù)��,則該篩選器將使用子網(wǎng)掩碼 255.255.255.255 和所有端口�。
Protocol 是可選項(xiàng)。如果省略它�,則篩選器將使用所有協(xié)議。如果指定一種協(xié)議�����,則必須指定端口或在協(xié)議前使用兩個(gè)冒號(hào) (::)��。(請(qǐng)參見(jiàn)動(dòng)態(tài)模式的第一個(gè)范例�����。)此協(xié)議必須是篩選器的最后一項(xiàng)�����?���?梢允褂孟旅娴膮f(xié)議符號(hào):ICMP、UDP��、RAW 和 TCP����。
可以通過(guò)使用加號(hào) (+) 替代等號(hào) (=) 創(chuàng)建鏡像篩選器。
可以將 SourceAddress/SourceMask 或 DestAddress/DestMask 替換為下表中的值: 值 說(shuō)明
0 我的地址或地址
* 任意地址
DNSName DNS 域名如果 DNS 名稱解析多個(gè)地址��,則會(huì)忽略它����。
GUID 本地網(wǎng)絡(luò)接口的全球單一標(biāo)識(shí) (GUID),形式為 {12345678-1234-1234-1234-123456789ABC}�����。當(dāng)在靜態(tài)模式下使用 -n 參數(shù)時(shí)���,則不能指定 GUID。
通過(guò)指定“默認(rèn)”的篩選器規(guī)格����,可以啟用默認(rèn)的響應(yīng)規(guī)則。
將篩選器規(guī)格放在圓括號(hào)中可以指定許可篩選器��。將篩選器規(guī)格放在中括號(hào) ([ ]) 中可以指定阻擋篩選器���。
如果使用的 Internet 地址是分類的子網(wǎng)掩碼(以八位字節(jié)為邊界定義的子網(wǎng)掩碼),則可使用通配符指定子網(wǎng)掩碼��。例如�����,10.*.*.* 與 10.0.0.0/255.0.0.0 相同����,10.92.*.* 與 10.92.0.0/255.255.0.0 相同。
篩選器范例
要?jiǎng)?chuàng)建可以篩選 Computer1 和 Computer2 之間的 TCP 流量的鏡像篩選器���,請(qǐng)鍵入:
Computer1+Computer2::TCP
要?jiǎng)?chuàng)建子網(wǎng)范圍為 172.31.0.0/255.255.0.0 到 10.0.0.0/255.0.0.0(端口 80)之間的所有 TCP 流量的篩選器,請(qǐng)鍵入:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
要?jiǎng)?chuàng)建允許本地 IP 地址和 IP 地址為 10.2.1.1 之間流量的鏡像篩選器��,請(qǐng)鍵入:
(0+10.2.1.1)
對(duì)于 -n 參數(shù)��,可由空格分割一個(gè)或多個(gè)協(xié)商策略并采用以下的形式:
esp[EncrypAlg,AuthAlg]RekeyPFS[Group]
ah[HashAlg]
ah[HashAlg]+esp[EncrypAlg,AuthAlg]
其中��,EncrypAlg 可以是 none���、des 或 3des�;AuthAlg 可以是 none���、md5 或 sha���;HashAlg 可以是 md5 或 sha。
不支持 esp[none,none] 配置���。
sha 參數(shù)是指 SHA1 散列算法����。
Rekey 參數(shù)是可選項(xiàng)�,它可以指定千字節(jié)的數(shù)量(通過(guò)在數(shù)字后加 K 表示),或秒數(shù)(通過(guò)在數(shù)字后加 S 表示)這些指定值位于快速模式 SA 的 rekey 之前���。要指定兩個(gè) rekey 的參數(shù),請(qǐng)使用斜線 (/) 將兩個(gè)數(shù)分開(kāi)��。例如�,要每隔 1 小時(shí)和每 5 兆 的數(shù)據(jù)流量后 rekey 一次快速模式 SA,請(qǐng)鍵入:
3600S/5000K
PFS 參數(shù)是可選項(xiàng)����,該參數(shù)可以啟用會(huì)話密鑰完全向前保密���。默認(rèn)情況下���,會(huì)話密鑰完全向前保密是禁用的。
Group 參數(shù)是可選項(xiàng)��,該參數(shù)可指定會(huì)話密鑰完全向前保密的 Diffie-Hellman 組��。對(duì)于 Low(1) Diffie-Hellman 組�����,指定 PFS1 或 P1�。對(duì)于 Medium(2) Diffie-Hellman 組����,指定 PFS2 或 P2。默認(rèn)情況下��,會(huì)話密鑰完全向前保密的組值來(lái)自當(dāng)前主模式設(shè)置值����。
如果不指定協(xié)商策略,則默認(rèn)的協(xié)商策略如下:
esp[3des,sha]
esp[3des,md5]
esp[des,sha]
esp[des,md5]
如果忽略 -t 參數(shù)�,則使用 IPSec 傳輸模式。
對(duì)于 -a 參數(shù)��,由空格分割一種或多種身份驗(yàn)證方式���,并使用以下某種形式:
preshare:"PresharedKeyString"
kerberos
cert:"CAInfo"
PresharedKeyString 參數(shù)指定預(yù)共享密鑰的字符串���。CAInfo 參數(shù)指定 IP 安全策略管理單元中顯示的證書(shū)區(qū)別名,此時(shí)證書(shū)被選擇為某規(guī)則的身份驗(yàn)證方式�����。PresharedKeyString 和 CAInfo 參數(shù)區(qū)分大小寫(xiě)����。可以使用首字母簡(jiǎn)化此方法:p, k 或 c��。如果忽略 -a 參數(shù)�,則默認(rèn)的身份驗(yàn)證方式為 Kerberos����。
對(duì)于 -1s 參數(shù)�����,單個(gè)或多個(gè)密鑰交換安全方式由空格分割且定義成下面的格式:
EncrypAlg-HashAlg-GroupNum
其中�����,EncrypAlg 可以是 des 或 3des�;HashAlg 可以是 md5 或 sha;GroupNum 可以是 1(對(duì)于 Low(1) Diffie-Hellman 組)或 2(對(duì)于 Medium(2) Diffie-Hellman 組)���。如果忽略 -1s 參數(shù)�,則默認(rèn)的密鑰交換安全方式是 3des-sha-2���、3des-md5-2��、des-sha-1 和 des-md5-1�。
對(duì)于 -1k 參數(shù)���,可以指定快速模式 SAs 的數(shù)量(通過(guò)在數(shù)字后加 Q 表示)或秒數(shù)(通過(guò)在數(shù)字后面加 S 表示)來(lái) rekey 主模式 SA����。要指定兩個(gè) rekey 的參數(shù)���,必須使用斜線 (/) 將兩個(gè)數(shù)分開(kāi)��。例如����,要在每 10 個(gè)快速模式 SAs 和每隔 1 小時(shí)后 rekey 主模式��,請(qǐng)鍵入:
10Q/3600S
如果忽略 -1k 參數(shù),主模式 rekey 的默認(rèn)值為無(wú)限個(gè)主模式 SAs 和 480 分鐘�����。
主密鑰完全向前保密在默認(rèn)情況下是禁用的�。
對(duì)于 -1f 參數(shù)���,指定主模式篩選器規(guī)格的語(yǔ)法與 -1f 參數(shù)相同��,差別在于不可以指定許可篩選器���、阻擋篩選器��、端口或協(xié)議���。如果忽略 -1f 參數(shù),將根據(jù)快速模式篩選器自動(dòng)創(chuàng)建主模式篩選器�����。
如果忽略 -1e 參數(shù)����,軟 SAs 的過(guò)期時(shí)間為 300 秒��。然而,軟 SAs 在未使用 -soft 參數(shù)時(shí)總是禁用的�。
只有動(dòng)態(tài)模式才可使用確認(rèn)。
如果未指定參數(shù) -dialup 和 -lan���,則規(guī)則將應(yīng)用于所有適配器�����。
范例
要?jiǎng)?chuàng)建進(jìn)出本地計(jì)算機(jī)的所有流量的使用 MD5 散列身份認(rèn)證頭標(biāo) (AH) 的規(guī)則,請(qǐng)鍵入:
ipseccmd -f 0+* -n ah[md5]
要?jiǎng)?chuàng)建來(lái)自 10.2.1.1 和 10.2.1.13(隧道終結(jié)點(diǎn)為 10.2.1.13)的流量的隧道規(guī)則(該規(guī)則帶有利用 SHA1 散列算法的 AH 隧道模式��,并啟用了主密鑰完全向前保密和在創(chuàng)建之前帶有規(guī)則確認(rèn)提示)�����,請(qǐng)鍵入:
ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c
要在名為 corpsrv1 的計(jì)算機(jī)上創(chuàng)建名為 corpsrv1 和 corpsrv2 的計(jì)算機(jī)之間所有流量的規(guī)則(該規(guī)則同時(shí)帶有 AH 和加密安全負(fù)載 (ESP),以及預(yù)共享的密鑰身份驗(yàn)證)���,請(qǐng)鍵入:
ipseccmd //corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"
ipseccmd static mode
可是使用 Ipseccmd 靜態(tài)模式創(chuàng)建命名策略和命名規(guī)則�����。也可以使用靜態(tài)模式修改最初由 Ipseccmd 創(chuàng)建的現(xiàn)有策略和規(guī)則��。靜態(tài)模式的語(yǔ)法結(jié)合了帶參數(shù)的動(dòng)態(tài)模式的語(yǔ)法����,該參數(shù)可使其在策略級(jí)的水平工作。
語(yǔ)法
ipseccmd DynamicModeParameters -w Type[:Location] -p PolicyName[:PollInterval] -r RuleName [{-x | -y}] [-o]
參數(shù)
DynamicModeParameters
必需��。根據(jù)上面的介紹為 IPSec 規(guī)則指定一套動(dòng)態(tài)模式參數(shù)集�。
-w Type[:Location]
必需����。指定寫(xiě)入本地注冊(cè)表、遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表或活動(dòng)目錄域的策略和規(guī)則��。
-p PolicyName[:PollInterval]
必需����。指定策略名稱和檢查策略更改的頻率(以分鐘計(jì))��。如果 PolicyName 包含空格�,請(qǐng)使用引號(hào)將文本引起來(lái)(例如���,"PolicyName")。
-r rulename
必需��。指定規(guī)則的名稱��。如果 RuleName 包含空格�����,請(qǐng)使用引號(hào)將文本引起來(lái)(例如����,"RuleName")�。
[{-x | -y}]?
指定是否分配本地注冊(cè)表策略���。-x 參數(shù)指定分配了本地注冊(cè)表策略�����。-y 參數(shù)指定未分配本地注冊(cè)表冊(cè)策略����。
-o
指定應(yīng)該刪除規(guī)則或策略。
/?
在命令提示符顯示幫助���。
注釋
對(duì)于 -w 參數(shù)���,Type 既可以是指定本地或遠(yuǎn)程計(jì)算機(jī)注冊(cè)表的 reg,也可以是指定活動(dòng)目錄的 ds��。
如果指定 Type 參數(shù)為 reg��,但沒(méi)有使用 Location 參數(shù)���,則將創(chuàng)建本地計(jì)算機(jī)的注冊(cè)表規(guī)則���。
如果指定 Type 參數(shù)為 reg,并指定了 Location 參數(shù)的遠(yuǎn)程計(jì)算機(jī)名����,則將創(chuàng)建指定的本地計(jì)算機(jī)的注冊(cè)表規(guī)則。
如果指定 Type 參數(shù)為 ds���,但沒(méi)有使用 Location 參數(shù),則將創(chuàng)建本地計(jì)算機(jī)所在的活動(dòng)目錄域的規(guī)則���。
如果指定 Type 參數(shù)為 ds�,且指定了 Location 參數(shù)的活動(dòng)目錄域��,則將創(chuàng)建指定域的規(guī)則�。
對(duì)于 -p 參數(shù),如果已經(jīng)存在該名稱的策略�����,則指定的規(guī)則將添加到策略中��。否則�,將創(chuàng)建指定名稱的策略。如果指定 PollInterval 參數(shù)的值為整數(shù)�,則該策略的輪詢時(shí)間間隔將設(shè)置為該整數(shù)的分鐘數(shù)�。
對(duì)于 -r 參數(shù)����,如果已經(jīng)存在該名稱的規(guī)則,則將根據(jù)命令中指定的參數(shù)修改該規(guī)則�����。例如,如果在現(xiàn)有規(guī)則中使用 -f 參數(shù)�����,則只替換該規(guī)則的篩選器�。如果不存在指定名稱的規(guī)則,則將創(chuàng)建該名稱的規(guī)則�����。
對(duì)于 -o 參數(shù)�����,會(huì)刪除指定策略的所有方面�����。如果具有指向要?jiǎng)h除的策略中對(duì)象的其他策略��,則不要使用該參數(shù)����。
靜態(tài)模式的使用有一個(gè)方面與動(dòng)態(tài)模式不同。使用動(dòng)態(tài)模式��,可以在 FilterList 中指定許可和阻擋篩選器�����,可以利用 -f 參數(shù)識(shí)別這些篩選器����。使用靜態(tài)模式��,可以在 NegotiationPolicyrList 中指定許可和阻擋篩選器���,可以利用 -n 參數(shù)識(shí)別這些篩選器。除了動(dòng)態(tài)模式下講述的 NegotiationPolicyList 參數(shù)外�����,也可以在靜態(tài)模式下使用 block�、pass 或 inpass 參數(shù)。下表列出了這些參數(shù)及其對(duì)各自行為的說(shuō)明�。
參數(shù) 說(shuō)明
block NegotiationPolicyList 中策略的其余部分將被忽略,且所有篩選器都將創(chuàng)建為阻擋篩選器�。
pass NegotiationPolicyList 中策略的其余部分將被忽略,且所有篩選器都將創(chuàng)建為許可篩選器。
inpass 內(nèi)傳篩選器將允許未加安全的初始通訊�����,但響應(yīng)將通過(guò) IPSec 加強(qiáng)其安全性����。
范例
要利用 Kerberos 和預(yù)共享密鑰身份認(rèn)證方式創(chuàng)建名稱為 Default Domain Policy 并在活動(dòng)目錄域(本地計(jì)算機(jī)需屬于該域成員)中具有 30 分鐘輪詢時(shí)間間隔,而且在本地計(jì)算機(jī)和名為 SecuredServer1 和 SecuredServer2 的計(jì)算機(jī)流量之間的規(guī)則名為 SevuredServer2 的策略���,請(qǐng)鍵入:
ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Default Domain Policy":30 -r "Secured Servers"
要利用本地計(jì)算機(jī)的任意流量鏡像篩選器以及預(yù)共享密鑰身份驗(yàn)證來(lái)創(chuàng)建并分配規(guī)則名為 Secure My Traffic �、策略名為 Me to Anyone 的本地策略��,請(qǐng)鍵入:
ipseccmd -f 0+* -a p:"localauth" -w reg -p "Me to Anyone" -r "Secure My Traffic" -x
ipseccmd query mode
可以使用 Ipseccmd 查詢模式顯示 IPSec 安全策略數(shù)據(jù)庫(kù)中的數(shù)據(jù)����。
語(yǔ)法
ipseccmd [//ComputerName] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}
參數(shù)
//computername
通過(guò)名稱指定要顯示其數(shù)據(jù)的遠(yuǎn)程計(jì)算機(jī)���。
show
必需。指定必須以查詢模式運(yùn)行 Ipseccmd�。
filters
顯示主模式和快速模式篩選器。
policies
顯示主模式和快速模式策略���。
auth
顯示主模式身份認(rèn)證方式�。
stats
顯示有關(guān) Internet 密鑰交換 (IKE) 和 IPSec 的統(tǒng)計(jì)資料。
sas
顯示主模式和快速模式安全關(guān)聯(lián) (SAs)��。
all
顯示上面各種類型的數(shù)據(jù)�。
/?
在命令提示符顯示幫助�����。
注釋
Ipseccmd 不可用于顯示運(yùn)行 Windows 2000 的 IPSec 數(shù)據(jù)����。
如果不使用 ComputerName 參數(shù)�����,則將顯示關(guān)于本地計(jì)算機(jī)的信息��。
如果使用了 ComputerName 參數(shù)��,則此參數(shù)必須位于其他所有參數(shù)之前��,且必須具有欲顯示其信息的計(jì)算機(jī)的管理員權(quán)限�。
范例
要顯示主模式和快速模式篩選器以及本地計(jì)算機(jī)的策略�,請(qǐng)鍵入:
ipseccmd show filters policies
要顯示遠(yuǎn)程計(jì)算機(jī) Server1 的所有 IPSec 信息���,請(qǐng)鍵入以下命令:
ipseccmd //Server1 show all
