Si selecciona Permitir la conexión si es segura en una regla de firewall, especifica que los paquetes de red deben estar protegidos por el protocolo de seguridad de Internet (IPsec) o el paquete no coincide con la regla. Si hace clic en Personalizar junto a esta opción, puede configurar las opciones que permiten especificar el tipo de protección IPsec necesaria.
Debe seleccionar una de las primeras tres opciones descritas a continuación. La última opción, Invalidar reglas de bloqueo, se puede seleccionar de forma independiente con respecto a las demás opciones.
 | Para abrir este cuadro de diálogo |
Al crear una regla de firewall con el Asistente para nueva regla de firewall, en la página Acción, haga clic en Permitir la conexión si es segura y, a continuación, haga clic en Personalizar.
Al modificar una regla de firewall existente, en la ficha General, seleccione Permitir la conexión si es segura y, a continuación, haga clic en Personalizar.
Permitir la conexión si se autentica y se protege su integridad
Ésta es la opción predeterminada. Use esta opción para requerir que todos los paquetes de red coincidentes usen la autenticación IPsec y los algoritmos de integridad según se define en una regla de seguridad de conexión independiente. Si un paquete de red que coincide con todos los demás criterios no se autentica ni protege con un algoritmo de integridad, no coincide con esta regla y se bloquea.
 | Nota |
Esta configuración se admite si se aplica a equipos que ejecutan Windows Vista o versiones posteriores de Windows. |
Requerir cifrado de conexiones
Use esta opción para requerir que todos los paquetes de red coincidentes usen el cifrado de datos según se define en una regla de seguridad de conexión independiente. Si un paquete de red que coincide con todos los demás criterios no está cifrado, no coincide con esta regla y se bloquea. Si esta opción está habilitada, Firewall de Windows con seguridad avanzada usa la configuración del cuadro de diálogo Personalizar configuración de protección de datos.
Permitir que los equipos negocien dinámicamente el cifrado
Esta opción solo está disponible para las reglas de entrada. Use esta opción para permitir la conexión de red, una vez realizada la autenticación correctamente, para enviar y recibir tráfico de red sin cifrar mientras se negocian los algoritmos de cifrado.
 | Seguridad Nota |
Mientras se negocia el cifrado, el tráfico de red se envía como texto no cifrado. No especifique esta opción si el tráfico de red enviado a través de la conexión durante este período es demasiado confidencial para la transmisión de texto sin formato. |
Permitir que la conexión use la encapsulación nula
Use esta opción para requerir que todos los paquetes de red coincidentes usen la autenticación de IPsec, pero no requieran protección de cifrado o integridad. Se recomienda usar solo esta opción cuando tenga software o equipo de red que no sea compatible con los protocolos de integridad Carga de seguridad encapsuladora (ESP) o Encabezado de autenticación (AH).
| Nota |
Esta configuración se admite si se aplica a los equipos que ejecutan Windows 7 o Windows Server 2008 R2. No se aplica a los equipos que ejecutan versiones anteriores de Windows. |
Invalidar reglas de bloqueo
Use esta opción para permitir que los paquetes de red que coincidan con esta regla de firewall invaliden las reglas de bloqueo de firewall. Esta opción también se denomina omitir autenticados. Normalmente, las reglas que bloquean explícitamente las conexiones tienen prioridad sobre las reglas que permiten las conexiones. Si usa esta opción, se permite la conexión incluso aunque otra regla la bloquee. Se indica de forma efectiva que se permite el tráfico de red que coincide con esta regla porque se autentica como procedente de un equipo o un usuario autorizado o de confianza.
Esta opción se suele usar para permitir que los programas de confianza, como los detectores de vulnerabilidades y otras herramientas de red, se ejecuten sin restricciones. Aunque una configuración de firewall típica bloquea y debe bloquear el tráfico de red desde dichos dispositivos, puede crear una regla que identifique los equipos autorizados. La opción Invalidar reglas de bloqueo solo permite el tráfico de estos equipos autorizados. Si no usa esta opción, todas las reglas de bloqueo de firewall que coincidan con los mismos criterios de la regla de firewall tendrán prioridad y las conexiones se bloquearán.
Si selecciona esta opción, debe especificar como mínimo un equipo o un grupo de equipos para la autorización en la página Equipos del Asistente para nueva regla de firewall o la ficha Equipos del cuadro de diálogo Propiedades de reglas de firewall.
| Nota |
Si configura el estado operativo del firewall en Bloquear todas los conexiones en el cuadro de diálogo Propiedades de Firewall de Windows con seguridad avanzada, se bloquea todo el tráfico de red aunque se establezca esta opción. |