Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec add rule ?
Syntax: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication
[description=][mode=transport|tunnel (Standard=transport)][enable=yes|no (Standard=yes)][profile=public|private|domain|any[,...] (Standard=any)][type=dynamic|static (Standard=static)][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any (Standard=any)][port2=0-65535|[,...]|any (Standard=any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)][interfacetype=wiresless|lan|ras|any (Standard=any)][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]|..."][auth1healthcert=yes|no (Standard=no)][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth1ecdsap256healthcert=yes|no (Standard=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth1ecdsap384healthcert=yes|no (Standard=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (Standard=none)][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+
[valuekb]|default][exemptipsecprotectedconnections=yes|no (Standard=no)][applyauthz=yes|no (Standard=no)]
Hinweise:
- Regelnamen müssen eindeutig sein und dürfen nicht "all" lauten.
- Bei "mode=tunnel" müssen Tunnelendpunkte angegeben werden,
außer wenn "action" auf "noauthentication" festgelegt ist.
Wenn spezifische IP-Adressen eingegeben werden, müssen diese über die
gleiche IP-Version verfügen.
Außerdem gilt beim Konfigurieren dynamischer Tunnel Folgendes:
Tunnelendpunkte können auf "any" festgelegt werden. Lokale Tunnelendpunkte
müssen für die Clientrichtlinie angegeben werden
(z. B. "any").
Remote-Tunnelendpunkte müssen für die Gatewayrichtlinie
angegeben werden (z. B. "any").
Für "action" muss außerdem "requireinrequireout", "requireinclearout"
oder "noauthentication" festgelegt werden.
- "requireinclearout" ist bei "mode=Transport" ungültig.
- Es muss mindestens eine Authentifizierung angegeben werden.
- "auth1" und "auth2" können kommagetrennte Listen von Optionen sein.
- Die Methoden "computerpsk" und "computerntlm" können nicht zusammen für
"auth1" angegeben werden.
- "computercert" kann nicht mit den Benutzeranmeldeinformationen für "auth2" angegeben werden.
- Die "certsigning"-Optionen "ecdsap256" und "ecdsap384" werden nur unter
Windows Vista SP1 und höher unterstützt.
- Bei "qmsecmethods" kann es sich um eine Liste von Vorschlägen mit dem Trennzeichen "," handeln.
- Für "qmsecmethods" wird Folgendes verwendet: "integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256" und
"encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256".
- Wenn "aesgcm128", "aesgcm192" oder "aesgcm256" angegeben werden, muss
dies sowohl für die ESP-Integrität als auch -Verschlüsselung verwendet werden.
- "aesgmac128", "aesgmac192", "aesgmac256", "aesgcm128", "aesgcm192", "aesgcm256"
und "sha256" werden nur unter Windows Vista SP1 und höher unterstützt.
- Für "qmpfs=mainmode" wird die Schlüsselaustauscheinstellung des Hauptmodus für PFS verwendet.
- Die Verwendung von DES, MD5 und DHGroup1 wird nicht empfohlen. Diese
kryptografischen Algorithmen werden nur aus Gründen der Abwärtskompatibilität
bereitgestellt.
- Der Standardwert für "certmapping" und "excludecaname" ist "no".
- Das Zeichen " innerhalb eines Zertifizierungsstellennamens muss durch "\"" ersetzt werden.
- Bei "auth1ca" und "auth2ca" muss dem Zertifizierungsstellennamen "CN=" vorangestellt sein.
- "catype" kann zum Angeben des Zertifizierungsauthentifizierungstyps verwendet werden -
"catype=root/intermediate".
- "authnoencap" wird unter Windows 7 und höher unterstützt.
- "authnoencap" bedeutet, dass für die Computer nur die Authentifizierung
verwendet wird und keine Kapselungs- oder Verschlüsselungsalgorithmen
pro Paket verwendet werden, um nachfolgende Netzwerkpakete zu schützen,
die als Teil dieser Verbindung ausgetauscht werden.
- "qmpfs" und "authnoencap" können nicht zusammen für die gleiche Regel verwendet werden.
- "authnoencap" muss mindestens von einer AH- oder ESP-Integritätssammlung
begleitet werden.
- "applyauthz" kann nur für Tunnelmodusregeln angegeben werden.
- "exemptipsecprotectedconnections" kann nur für Tunnelmodusregeln
angegeben werden. Durch das Festlegen dieses Flags auf "yes"
wird der ESP-Datenverkehr vom Tunnel ausgeschlossen.
Nur AH-Datenverkehr wird NICHT vom Tunnel ausgeschlossen.
- "valuemin" (wenn angegeben) für "qmsecmethod" muss zwischen 5 und 2880
Minuten liegen. "valuekb" (wenn angegeben) für "qmsecmethod" muss zwischen
20480 und 2147483647 KB liegen.
Beispiele:
Eine Regel für die Domänenisolation mit Standardwerten hinzufügen:
netsh advfirewall consec add rule name="isolation"
endpoint1=any endpoint2=any action=requireinrequestout
Eine Regel mit benutzerdefinierten Schnellmodusvorschlägen hinzufügen:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1
action=requireinrequestout
Eine Regel mit benutzerdefinierten Schnellmodusvorschlägen hinzufügen:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none
action=requireinrequestout
Eine Tunnelmodusregel erstellen von
Subnetz A (192.168.0.0, external ip=1.1.1.1) bis
Subnetz B (192.157.0.0, external ip=2.2.2.2):
netsh advfirewall consec add rule name="my tunnel" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Eine dynamische Tunnelmodusregel erstellen von Subnetz
A (192.168.0.0/16)
bis Subnetz B (192.157.0.0, remoteGW=2.2.2.2)
Clientrichtlinie:
netsh advfirewall consec add rule name="dynamic tunnel"
mode=tunnel
endpoint1=any endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
action=requireinrequireout
Gatewayrichtlinie (gilt nur für das Gatewaygerät):
netsh advfirewall consec add rule name="dynamic tunnel"
mode=tunnel endpoint1=192.157.0.0/16
endpoint2=any localtunnelendpoint=2.2.2.2
