Salvo en el caso de una regla de bloqueo o permiso, una lista de filtros IP desencadena las negociaciones de seguridad en función de una correspondencia con el origen, el destino y el tipo de tráfico IP. Este tipo de filtrado de paquetes IP permite a un administrador definir con precisión el tráfico IP que debe protegerse. Cada lista de filtros IP contiene uno o varios filtros, que definen las direcciones y los tipos de tráfico IP. Una lista de filtros IP puede utilizarse para varios escenarios de comunicación.
IPsec requiere tanto un filtro de entrada como un filtro de salida entre los equipos especificados en la lista de filtros, salvo para las reglas de bloqueo o permiso. Los filtros de entrada se aplican al tráfico de entrada, y permiten que el equipo receptor responda a las peticiones de comunicación segura o al tráfico coincidente con la lista de filtros IP. Los filtros de salida se aplican al tráfico que sale del equipo y realizan una negociación de seguridad antes de enviar el tráfico.
Si utiliza la casilla Reflejado, creará automáticamente dos filtros basados en la configuración de filtro: uno para el tráfico dirigido al destino y otro para el tráfico proveniente del destino. Esto permite establecer comunicaciones bidireccionales con otros equipos.
Configuración de las listas de filtros
Las listas de filtros (y las acciones de filtrado) pueden definirse al crear una directiva o antes de crearla. Las listas de filtros se encuentran disponibles para todas las directivas. Para definir una lista de filtros, haga clic con el botón secundario en el nodo Directivas de seguridad IP y seleccione Administrar listas de filtros IP y acciones de filtrado.
Cada filtro define un subconjunto de tráfico de red entrante y saliente donde actúa la acción de filtrado, ya sea para proteger el tráfico (con autenticación, integridad de datos o cifrado de datos), bloquearlo completamente o permitirlo (sin autenticación, integridad de datos o cifrado de datos). Debe tener un filtro para cubrir cualquier tráfico al que se aplican las reglas asociadas. Un filtro contiene las siguientes configuraciones:
- Las direcciones de origen y de destino del paquete IP. Es posible configurar cualquier dirección IP asignada al equipo del mismo nivel con IPsec, una única dirección IP, direcciones IP por nombre DNS o grupos de direcciones para especificar subredes IP.
- Protocolo que se usa para transferir el paquete. Cubre automáticamente todos los protocolos del conjunto de protocolos TCP/IP. Sin embargo, puede configurarse para un protocolo individual, incluido un protocolo personalizado, con el fin de satisfacer necesidades especiales.
- Los puertos de origen y de destino del protocolo para TCP y UDP. De manera predeterminada se cubren todos los puertos TCP y UDP, pero puede configurarse para que se aplique únicamente a un puerto TCP o UDP específico.
 | Importante |
La resolución de nombres DNS sólo tiene lugar cuando se crea la lista de filtros y no se actualiza posteriormente. De modo que si la dirección IP cambia, la directiva no se actualiza. Para actualizar la dirección IP, es necesario editar la directiva. |
 | Para crear una lista de filtros con el cuadro de diálogo Propiedades de Nueva regla |
En el cuadro de diálogo Propiedades de la directiva de seguridad IP, seleccione la regla de seguridad IP correcta y haga clic en Editar, o bien puede crear una nueva regla si hace clic en Agregar.
En la ficha Lista de filtros IP, desactive la casilla Usar Asistente para agregar si desea crear la lista de filtros en el cuadro de diálogo de propiedades. Si desea usar el asistente, mantenga activada la casilla. Haga clic en Agregar. Las siguientes instrucciones sirven para crear una lista de filtros con el cuadro de diálogo.
En la ficha Direcciones del cuadro de diálogo Propiedades de Filtro IP, seleccione una dirección IP de origen (local) y una dirección IP de destino (es decir, un equipo del mismo nivel con IPsec).
En la ficha Protocolo, seleccione el tipo de protocolo con el que debe coincidir el filtro.
(Opcional) En la ficha Descripción, escriba una descripción para el filtro. Esta descripción puede ayudarle a ordenar los filtros y le permite identificar rápidamente el filtro sin tener que abrir sus propiedades.
Haga clic en Aceptar.
Repita los pasos del 4 al 8 para agregar otros filtros a la lista.
En el cuadro de diálogo Lista de filtros IP, escriba un nombre descriptivo para la lista de filtros. Haga clic en Aceptar para agregar la lista de filtros a la regla.
En el cuadro de diálogo Propiedades de Nueva regla, seleccione la lista de filtros.
| Para crear una lista de filtros con el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado |
Haga clic con el botón secundario en el nodo Directivas de seguridad IP y seleccione Administrar listas de filtros IP y acciones de filtrado.
En la ficha Administrar listas de filtros IP, haga clic en Agregar.
En el cuadro de diálogo Lista de filtros IP, desactive la casilla Usar Asistente para agregar si desea crear la lista de filtros en el cuadro de diálogo de propiedades. Si desea usar el asistente, mantenga activada la casilla. Haga clic en Agregar. Las siguientes instrucciones sirven para crear una lista de filtros con el cuadro de diálogo.
En la pestaña Direcciones del cuadro de diálogo Propiedades de Filtro IP, seleccione una dirección IP de origen (local) y una dirección IP de destino (es decir, un equipo del mismo nivel con IPsec).
En la pestaña Protocolo, seleccione el tipo de protocolo con el que debe coincidir el filtro.
(Opcional) En la pestaña Descripción, escriba una descripción para el filtro. Esta descripción puede ayudarle a ordenar los filtros y le permite identificar rápidamente el filtro sin tener que abrir sus propiedades.
Haga clic en Aceptar.
Repita los pasos del 4 al 8 para agregar otros filtros a la lista.
En el cuadro de diálogo Lista de filtros IP, escriba un nombre descriptivo para la lista de filtros. Haga clic en Aceptar para agregar la lista de filtros a la regla.