netsh ipsec static add policy name=mypolicy (建一个安全策略)
netsh ipsec static add filterlist name=myaccess （允许筛选列表）
netsh ipsec static add filterlist name=myrefuse （拒绝筛选列表）
netsh ipsec static add filter filterlist=myaccess……（为myaccess添加一个筛选器）不建筛选器，建规则时会失败
netsh ipsec static add filter filterlist=myrefuse…… （为myrefuse添加一个筛选器）不建筛选器，建规则时会失败
netsh ipsec static add filteraction name=ok action=permit （建一个允许筛选操作）
netsh ipsec static add filteraction name=not action=block （建一个拒绝筛选操作）
netsh ipsec static add rule name=允许规则 policy=mypolicy filterlist=myaccess filteraction=ok （建一个规则，并将其添加到mypolicy策略中，并关联筛选操作）
netsh ipsec static add rule name=拒绝规则 policy=mypolicy filterlist=myrefuse filteraction=not （建一个规则，并将其添加到mypolicy策略中，并关联筛选操作）
netsh ipsec static set policy name=mypolicy assign=y （激活策略）

netsh ipsec static show policy all(显示所有安全策略)
netsh ipsec static show policy name=mypolicy(显示mypolicy安全策略)
netsh ipsec static show policy name=mypolicy level=verbose(显示mypolicy策略及相关筛选器及筛选操作等相关信息)
netsh ipsec static show filterlist name=myaccess lever=verbose(显示myaccess筛选列表等相关信息)

netsh ipsec static delete policy name=mypolicy(删除某个安全策略)
netsh ipsec static delete filterlist name=myaccess(删除某个筛选器列表)

程序实现，增加列表后然后才执行，每次执行前先删除现有的规则。
IP安全策略从win2k开始到2003都是存在的，图形界面的操作相信大家都会，但如何在命令行下控制IPSec呢？win2k的方法在Do All in Cmd Shell有介绍。这里就拿win2003做例子吧，毕竟2003十分流行，而且2003下面有一个工具是它本身带有的，十分方便地完成所有任务。这个工具就是netsh。
"netsh"是Windows 2000/XP/2003操作系统自身提供的命令行脚本实用工具，它允许用户在本地或远程显示或修改当前正在运行的计算机的网络配置。
netsh ipsec，听闻只有windows2003才能运行。我都是在2003下测试的。其他系统就不知道了。我们要学习的就是他了。
IP安全策略，我自身的理解就是：一个安全策略由一条条规则组成，而这些规则是由2部分组成的。首先要建立一个ip筛选器（用来指定那些地址）。然后呢是筛选器操作（用来指定对这些ip的操作，就是动作）
一个安全策略编写完成了，首先要激活，才能使用，那就是指派。
下面用实例来说明，然后附带一些常用的。这个例子就是不允许ip为192.168.1.2的机器访问我的3389端口。’后面是注析
’建立一个名字叫XBLUE的安全策略先
netsh ipsec static add policy name=XBLUE
’建立一个ip筛选器，指定192.168.1.2
netsh ipsec static add filterlist name=denyip
netsh ipsec static add filter filterlist=denyip srcaddr=192.168.1.2 dstaddr=Me dstport=3389 protocol=TC
’建立一个筛选器操作
netsh ipsec static add filteraction name=denyact action=block
’加入规则到安全策略XBLUE
netsh ipsec static add rule name=kill3389 policy=XBLUE filterlist=denyip filteraction=denyact
’激活这个策略
netsh ipsec static set policy name=XBLUE assign=y
写到这里，好郁闷。别人说我的是老掉牙的东西。再写一些就完结
一些例子，如果各位想认识更多，请看netsh ipsec ?
把安全策略导出
netsh ipsec static exportpolicy d:\ip.ipsec
删除所有安全策略
netsh ipsec static del all
把安全策略导入
netsh ipsec static importpolicy d:\ip.ipsec
激活这个策略
netsh ipsec static set policy name=策略名称 assign=y
灵活运用
我想用他的3389。于是这样，我的ip是220.207.31.249。
netsh ipsec static add filterlist name=welcomexblue
netsh ipsec static add filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=7892 protocol=TCP
netsh ipsec static add rule name=letxblue policy=ConnRest filterlist=welcomexblue filteraction=Permit
访问结果
ok，可以访问了。
netsh ipsec static del rule name=letxblue policy=ConnRest
更改
netsh ipsec static set filter filterlist=welcomexblue srcaddr=220.207.31.249 dstaddr=Me dstport=3389 protocol=TC
删除
etsh ipsec static del rule name=letxblue policy=ConnRest
netsh ipsec static del filterlist name=welcomexblue