由于公司服务器上运行的业务非常多,且每台服务器上都做了相应的IPSEC进行访问控制,当遇到服务器业务迁移时,要编辑N多条IPSEC策略是一件让人比较头疼的事情,为了减少编辑策略的时间及防止出现少开或错开端口的问题,编写了以下脚本:
一、首先在新服务器上导入基础IP策略(基础策略包括:只允许公司IP远程访问该机器;允许访问到数据库端口;允许公司IP进行ICMP连接;允许本机HTTP访问等策略);
二、使用以下脚本生成一个名为"openport.bat"的脚本文件,该文件包含了服务器上所有业务侦听的端口,并进行一些必要的编辑,删除非业务类端口;
@echo on
if exist PortLISTENING.log exit
netstat -na |find /i "LISTENING" > PortLISTENING.log
for /f "tokens=2 delims=:" %%a in (PortLISTENING.log) do echo %%a >> LISTENING.log
for /f "tokens=1" %%b in (LISTENING.log) do echo netsh ipsec static add filter filterlist=Yes srcaddr=any protocol=tcp dstport=%%b dstaddr=me >> openport.bat
echo del open.bat /q >> open.bat
del LISTENING.log /q
del PortLISTENING.log /q
exit
三、执行编辑后的"openport.bat"文件,检查IPSEC中策略是否已经正常导入。
阅读(3369) | 评论(0) | 转发(0) |