IPSEC是啥？

简单理解，它是一个类似网络防火墙的东西，可以通过设置策略来限制IP、端口、协议的访问

前提

IPsec Policy Agent 服务必须是运行的状态，设置的策略规则才会生效

方法

可以在组策略编辑器中，图形化的创建：

但这不是今天讲的重点，而且图形化操作缺少效率，本文略过。

命令创建

这里以禁止其它机子访问本机135、139、445端口为例

创建一个策略，名称为“安全策略”：

netsh ipsec static add policy name="安全策略"

创建一个动作，名称为“阻止”：

netsh ipsec static add filteraction name="阻止" action=block

创建一个筛选器，名称为“策略1”（一个策略可以有多个筛选器）：

netsh ipsec static add filterlist name="策略1"

往“策略1”这个筛选器中，添加135、139、445端口限制规则：

netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=135 srcaddr=any dstaddr=me

netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=139 srcaddr=any dstaddr=me

netsh ipsec static add filter filterlist="策略1" protocol=tcp dstport=445 srcaddr=any dstaddr=me

将“策略1”这个筛选器，加入到“安全策略”中，动作为“阻止”：

netsh ipsec static add rule name="安全策略" policy="安全策略" filterlist="策略1" filteraction="阻止"

指派策略，让“安全策略”生效：

netsh ipsec static set policy name="安全策略" assign=y

这样就完成了：

删除策略

netsh ipsec static set policy name="安全策略" assign=n
netsh ipsec static delete rule name="安全策略" policy="安全策略"
netsh ipsec static delete filterlist name="策略1"
netsh ipsec static delete policy name="安全策略"
 

关于这三个端口：

135端口，是Windows一些服务的远程管理端口，非常危险！到目前为止，我还没发现有什么应用场景是必须将它开放的！因此，建议一定要限制它的访问！

139、445端口，139是老系统的共享端口！多老？Win95、Win98！XP以后，共享端口换成了新的445端口，但是为了兼容Win98等老系统的访问，保留了139端口，到现在的Win11中，仍然保留着139端口！但是139端口现在已没有开放的必要，建议限制起来！

445是共享服务端口，因此，如果你需要开放共享给其它机器使用，那就不能限制它。如果不需要共享，那建议将它限制！

题外话

这三个端口都很危险，过去报出过许多严重的漏洞！

国内知名度很高的“熊猫烧香”，当初正是利用了它们的漏洞进行网络传播！

将它们限制起来，可以预防许多未知的风险！