netsh » advfirewall » consec » add » rule

Microsoft Windows [Version 6.1.7000]
(C) Copyright 2009 Microsoft Corp.
C:\Windows>netsh advfirewall consec add rule ? Format: add rule name= endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| action=requireinrequestout|requestinrequestout| requireinrequireout|requireinclearout|noauthentication [description=] [mode=transport|tunnel (standard=transport)] [enable=yes|no (standard=yes)] [profile=public|private|domain|any[,...] (standard=any)] [type=dynamic|static (standard=static)] [localtunnelendpoint=any||] [remotetunnelendpoint=any||] [port1=0-65535|[,...]|any (standard=any)] [port2=0-65535|[,...]|any (standard=any)] [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (standard=any)] [interfacetype=wiresless|lan|ras|any (standard=any)] [auth1=computerkerb|computercert|computercertecdsap256| computercertecdsap384|computerpsk|computerntlm|anonymous[,...]] [auth1psk=] [auth1ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (standard=root)] |..."] [auth1healthcert=yes|no (standard=no)] [auth1ecdsap256ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (standard=root)] | ..."] [auth1ecdsap256healthcert=yes|no (standard=no)] [auth1ecdsap384ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (standard=root)] | ..."] [auth1ecdsap384healthcert=yes|no (standard=no)] [auth2=computercert|computercertecdsap256|computercertecdsap384| userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm| anonymous[,...]] [auth2ca=" [certmapping:yes|no] [catype:root|intermediate (standard=root)] | ..."] [auth2ecdsap256ca=" [certmapping:yes|no] [catype:root|intermediate (standard=root)] | ..."] [auth2ecdsap384ca=" [certmapping:yes|no] [catype:root|intermediate (standard=root)] | ..."] [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode| none (standard=none)] [qmsecmethods=authnoencap:+[valuemin]+[valuekb]| ah:+esp:-+[valuemin]+[valuekb] |default] [exemptipsecprotectedconnections=yes|no (standard=no)] [applyauthz=yes|no (standard=no)] Kommentarer: - Regelnavnet skal være entydigt og må ikke være "all". - Når mode=tunnel, skal der angives tunnelslutpunkter, medmindre handlingen er noauthentication. Når der angives specifikke IP-adresser, skal de have samme IP-version. Når du konfigurerer dynamiske tunneller, gælder desuden følgende: Tunnelslutpunkter kan angives til any. Du behøver ikke angive et tunnelslutpunkt for Klientpolitik (dvs. any). Du behøver ikke angive fjerntunnelslutpunkter for Gatewaypolitik (dvs. any). Desuden skal action være requireinrequireout, requireinclearout, eller noauthentication. - requireinclearout er ikke gyldig, når mode=Transport. - Der skal angives mindst én godkendelse. - Auth1 og auth2 kan være kommaseparerede lister med indstillinger. - Metoderne Computerpsk og computerntlm kan ikke angives sammen for auth1. - Computercert kan ikke angives med brugerlegitimationsoplysninger for auth2. - Certsigning-indstillingerne ecdsap256 og ecdsap384 understøttes kun under Windows Vista SP1 og senere. - Qmsecmethods kan være en liste over forslag adskilt med ",". - For qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192| aesgmac256|aesgcm128|aesgcm192|aesgcm256 og encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256. - Hvis aesgcm128, aesgcm192 eller aesgcm256 er angivet, skal de bruges til både ESP-integritet og kryptering. - Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256, sha256 understøttes kun under Windows Vista SP1 og senere. - Qmpfs=mainmode bruger indstillingen for PFS til udveksling af hovedtilstandsnøgle. - Det anbefales ikke at bruge DES, MD5 og DHGroup1. Disse kryptografiske algoritmer er kun medtaget af hensyn til bagudkompatibilitet. - Standardværdien for certmapping og excludecaname er 'no'. - "-tegn i navnet på nøglecenteret skal udskiftes med \' - For auth1ca og auth2ca skal navnet på nøglecenteret være foranstillet 'CN='. - catype kan bruges til at angive godkendelsestypen Certification - catype=root/intermediate - authnoencap understøttes under Windows 7 og senere. - authnoencap betyder, at computerne kun bruger godkendelse, og der bruges ikke pakkeindkapsling eller krypteringsalgoritmer til at beskytte efterfølgende udveksling af netværkspakker som en del af forbindelsen. - QMPFS og authnoencap kan ikke bruges sammen i den samme regel. - AuthNoEncap skal være ledsaget af mindst én AH- eller ESP-integritetspakke. - applyauthz kan kun angives for tunneltilstandsregler. - exemptipsecprotectedconnections kan kun angives for tunneltilstandsregler. Hvis du angiver dette flag til "Yes", bliver ESP-trafikken undtaget fra tunnellen. AH-trafik bliver ikke undtaget fra tunnellen. - Valuemin (når den angives) for en qmsecmethod skal være mellem 5-2880 minutter. Valuekb (når den angives) for en qmsecmethod skal være mellem 20480-2147483647 KB. Eksempler: Tilføj en regel til domæneisolation ved hjælp af standardindstillingerne: netsh advfirewall consec add rule name="isolation" endpoint1=any endpoint2=any action=requireinrequestout Tilføj en regel med brugerdefinerede forslag i hurtigtilstand: netsh advfirewall consec add rule name="brugerdefineret" endpoint1=any endpoint2=any qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1 action=requireinrequestout Tilføj en regel med brugerdefinerede forslag i hurtigtilstand: netsh advfirewall consec add rule name="brugerdefineret" endpoint1=any endpoint2=any qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none action=requireinrequestout Opret en regel for tunneltilstand fra undernet A (192.168.0.0, ekstern IP-adresse=1.1.1.1) til undernet B (192.157.0.0, ekstern IP-adresse=2.2.2.2): netsh advfirewall consec add rule name="min tunnel" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 localtunnelendpoint=1.1.1.1 action=requireinrequireout Opret en dynamisk regel for tunneltilstand fra undernet A (192.168.0.0/16) til undernet B (192.157.0.0, remoteGW=2.2.2.2) Klientpolitik: netsh advfirewall consec add rule name="dynamisk tunnel" mode=tunnel endpoint1=any endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 action=requireinrequireout Gatewaypolitik (anvendes kun på gatewayenhed): netsh advfirewall consec add rule name="dynamisk tunnel" mode=tunnel endpoint1=192.157.0.0/16 endpoint2=any localtunnelendpoint=2.2.2.2 action=requireinrequireout Tilføj en regel med et navn på et nøglecenter: netsh advfirewall consec add rule name="cert-regel" endpoint1=any endpoint2=any action=requireinrequestout auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Rodnøglecenter Microsoft Nord, Syd, Øst og Vest\'"