Undtagen i tilfælde af en blokerings- eller tilladelsesregel udløser en IP-filterliste sikkerhedsforhandlinger baseret på en overensstemmelse med kilden, destinationen og typen af IP-trafik. Denne form for filtrering af IP-pakker gør det muligt for en administrator at definere helt præcis, hvilken IP-trafik der skal sikres. Alle IP-filterlister indeholder et eller flere filtre, som definerer IP-adresser og trafiktyper. Én IP-filterliste kan bruges til flere forskellige kommunikationsscenarier.

IPsec kræver både et indgående filter og et udgående filter mellem de computere, der er angivet på filterlisten, med undtagelse af regler for blokerede eller tilladte elementer. Indgående filtre anvendes på indgående trafik, så modtagercomputeren kan svare på anmodninger om sikker kommunikation eller tilpasse trafikken til IP-filterlisten. Udgående filtre anvendes på udgående trafik fra en computer og udløser en sikkerhedsforhandling, inden data sendes.

Ved hjælp af feltet Spejlet oprettes der automatisk to filtre på baggrund af filterindstillingerne: ét for trafik til destinationen, og ét for trafik fra destinationen. Dette muliggør tovejskommunikation med andre computere.

Indstillinger for filterliste

Du kan definere filterlister (og filterhandlinger), når du opretter en politik, eller før du opretter en politik. Til enhver politik findes der filterlister. Hvis du vil definere en filterliste, skal du højreklikke på noden IP-sikkerhedspolitik og vælge Administrer IP-filterlister og filterhandlinger.

Hvert enkelt filter definerer et undersæt af indgående eller udgående netværkstrafik, som filterhandlingen reagerer på ved enten at sikre trafik (ved brug af godkendelse, dataintegritet eller datakryptering), helt blokere trafik eller tillade trafik (uden brug af godkendelse, dataintegritet eller datakryptering). Du skal have et filter, der dækker alle former for trafik, som den tilknyttede regel omfatter. Et filter indeholder følgende indstillinger:

  • Kilde- og modtageradresserne på IP-pakken. Du kan konfigurere en hvilken som helst IP-adresse, der er knyttet til den pågældende IPsec-peer, en enkelt IP-adresse, IP-adresser efter DNS-navn eller grupper af adresser, hvis du vil angive IP-undernet.

  • Den protokol, der bruges til at overføre pakken. Den dækker automatisk alle protokoller i TCP/IP-protokolfamilien, men for en bestemt protokol kan den konfigureres til at opfylde særlige krav, herunder brugerdefinerede protokoller.

  • Protokollens kilde- og modtagerporte for TCP og UDP. Alle TCP- og UDP-porte er som standard omfattet, men den kan konfigureres til kun at gælde for en bestemt TCP- eller UDP-port.

Vigtigt!

Der foretages kun DNS-navnefortolkning, når filterlisten er blevet oprettet og ikke efterfølgende er blevet opdateret. Hvis IP-adressen ændres, opdateres politikken derfor ikke. Hvis du vil opdatere IP-adressen, skal du redigere politikken.

Sådan oprettes en filterliste ved hjælp af dialogboksen med egenskaber for ny regel
  1. Marker den korrekte IP-sikkerhedsregel i dialogboksen med egenskaber for IP-sikkerhedspolitik, og klik på Rediger, eller klik på Tilføj, hvis du vil oprette en ny regel.

  2. Fjern markeringen i feltet Brug guiden Tilføj under fanen IP-filterliste, hvis du vil oprette filterlisten i dialogboksen med egenskaber. Marker feltet, hvis du vil bruge guiden. Klik på Tilføj. Følgende instruktioner bruges til at oprette en filterliste ved hjælp af dialogboksen.

  3. Marker en IP-kildeadresse (lokal) og en IP-destinationsadresse (dvs. en IPsec-peer) under fanen Adresser i dialogboksen med egenskaber for IP-filter.

  4. Marker den protokoltype, som filteret skal være i overensstemmelse med, under fanen Protokol.

  5. (Valgfrit) Indtast en beskrivelse af filteret under fanen Beskrivelse. Denne beskrivelse kan hjælpe dig med at sortere filtrene, og du kan hurtigt identificere filteret uden at skulle åbne dets egenskaber.

  6. Klik på OK.

  7. Gentag trin 4-8 for at føje flere filtre til listen.

  8. Indtast et beskrivende navn til filterlisten i dialogboksen IP-filterliste. Klik på OK for at føje filterlisten til reglen.

  9. Vælg filterlisten i dialogboksen med egenskaber for ny regel.

Sådan oprettes en filterliste ved hjælp af dialogboksen Administrer IP-filterlister og filterhandlinger
  1. Højreklik på noden IP-sikkerhedspolitik, og vælg Administrer IP-filterlister og filterhandlinger.

  2. Klik på Tilføj under fanen Administration af IP-filterlister.

  3. Fjern markeringen i feltet Brug guiden Tilføj i dialogboksen IP-filterliste, hvis du vil oprette filterlisten i dialogboksen med egenskaber. Marker feltet, hvis du vil bruge guiden. Klik på Tilføj. Følgende instruktioner bruges til at oprette en filterliste ved hjælp af dialogboksen.

  4. Marker en IP-kildeadresse (lokal) og en IP-destinationsadresse (dvs. en IPsec-peer) under fanen Adresser i dialogboksen med egenskaber for IP-filter.

  5. Marker den protokoltype, som filteret skal være i overensstemmelse med, under fanen Protokol.

  6. (Valgfrit) Indtast en beskrivelse af filteret under fanen Beskrivelse. Denne beskrivelse kan hjælpe dig med at sortere filtrene, og du kan hurtigt identificere filteret uden at skulle åbne dets egenskaber.

  7. Klik på OK.

  8. Gentag trin 4 til og med 8 for at føje flere filtre til listen.

  9. Indtast et beskrivende navn til filterlisten i dialogboksen IP-filterliste. Klik på OK for at føje filterlisten til reglen.

Se også