A ferramenta netsh no contexto ipsec fará o que você está procurando. Dê uma olhada na referência da Microsoft para obter informações detalhadas.
No contexto ipsec dynamic de netsh , você pode aplicar regras on-the-fly (que não serão tornadas persistentes) ou pode usar o contexto ipsec static para fazer alterações na configuração persistente ( que não são aplicados imediatamente). Você pode criar regras e filtrar listas e manipular a diretiva ipsec exatamente como faria na GUI. É realmente muito útil.
Eu suspeito que você será capaz de descobrir isso já que você já está familiarizado com toda a terminologia na GUI, que é praticamente a mesma na interface da linha de comando. Aqui está um pequeno exemplo de criação de uma política (não ativa), uma filteraction (block), uma lista de filtros, adicionando um filtro a essa lista de filtros (qualquer fonte, destino, ICMP) e adicionando uma regra à política.
netsh ipsec static add policy name=MyPolicy
netsh ipsec estático add filteraction name = ação MyFilteraction = block
netsh ipsec static add nome da lista de filtros = MyFilterlist
netsh ipsec estático add filter filterlist = MyFilterlist srcaddr = qualquer protocolo dstaddr = me = ICMP
netsh ipsec static nome da regra de adição = Rule1 policy = MyPolicy filterlist = MyFilterlist filteraction = MinhaFilteração