Förutom när det gäller en Blockera- eller Tillåt-regel aktiverar en IP-filterlista säkerhetsförhandlingar baserade på matchning mot källan, målet och den typ av IP-trafik som föreligger. Den här typen av filtrering av IP-paket gör det möjligt för administratören att exakt definiera vilken IP-trafik som är säkrad. Varje IP-filterlista innehåller ett eller flera filter som definierar IP-adresser och trafiktyper. En IP-filterlista kan användas för flera olika kommunikationsfall.

För IPSec krävs det både ett filter för inkommande trafik och ett filter för utgående trafik mellan de angivna datorerna i filterlistan, förutom för reglerna Blockera och Tillåt. De inkommande filtren gäller för inkommande trafik och gör så att den mottagande datorn kan svara på begäranden om skyddad kommunikation eller matcha trafiken mot IP-filterlistan. De utgående filtren gäller för trafik som går från en dator, och utför en säkerhetsförhandling innan trafiken skickas.

Med hjälp av kryssrutan Speglad kan du automatiskt skapa två filter som bygger på samma filterinställningar: en för trafik till målet och en för trafik från målet. Det möjliggör tvåvägskommunikation med andra datorer.

Inställningar för filterlistan

Du kan definiera filterlistor (och filteråtgärder) när du skapar en princip eller innan du skapar principen. Filterlistorna är tillgängliga för alla principer. Du definierar en filterlista genom att högerklicka på noden för IP-säkerhetsprinciper och välja Hantera IP-filterlistor och filteråtgärder.

Varje filter definierar en delmängd inkommande eller utgående nätverkstrafik som filteråtgärden utförs på. Antingen skyddas trafiken (med hjälp av autentisering, dataintegritet eller datakryptering), blockeras helt eller tillåts (utan autentisering, dataintegritet eller datakryptering). Det måste finnas ett filter för alla typer av trafik som omfattas av den associerade regeln. Ett filter innehåller följande inställningar:

  • IP-paketets källadress och måladress. Det går att konfigurera en IP-adress som tilldelats en IPSec-peer, en enskild IP-adress, IP-adresser efter DNS-namn och adressgrupper för att ange IP-undernät.

  • Protokollet som används för att överföra paketet. Denna inställning täcker alla protokoll i protokollsviten för TCP/IP. Den kan också konfigureras för enskilda protokoll, inklusive anpassade protokoll, för att svara mot särskilda krav.

  • Källporten och målporten för protokollet för TCP och UDP. Som standard täcks alla TCP- och UDP-portar men detta kan konfigureras till att endast gälla en viss TCP- eller UDP-port.

Viktigt!

DNS-namnmatchning äger endast rum då filterlistan skapas, inte om den sedan uppdateras. Om IP-adressen ändras uppdateras alltså inte principen. Du måste redigera principen för att uppdatera IP-adressen.

Skapa en filterlista med dialogrutan Egenskaper för ny regel

  1. Välj rätt IPSec-regel i dialogrutan Egenskaper för IP-säkerhetsprincip och klicka på Redigera. Du kan också skapa en ny regel genom att klicka på Lägg till.

  2. Avmarkera kryssrutan Använd guiden på fliken IP-filterlista om du vill skapa filterlistan i dialogrutan Egenskaper. Låt kryssrutan vara markerad om du vill använda guiden. Klicka på Lägg till. Följande anvisningar beskriver hur du skapar en filterlista med hjälp av dialogrutan.

  3. Välj en IP-adress till källan (den lokala datorn) och målet (en IPSec-peer) på fliken Adresser i dialogrutan Egenskaper för IP-filter.

  4. Välj vilken typ av protokoll som filtret ska matcha på fliken Protokoll.

  5. (Valfritt) Ange en beskrivning av filtret på fliken Beskrivning. Beskrivningen kan vara till hjälp när du sorterar filtren, och gör att du snabbt kan känna igen ett filter utan att öppna dess egenskaper.

  6. Klicka på OK.

  7. Upprepa stegen 4 till 8 för att lägga till ytterligare filter i listan.

  8. Ange ett beskrivande namn på filterlistan i dialogrutan IP-filterlista. Klicka på OK om du vill lägga till filterlistan i regeln.

  9. Markera filterlistan i dialogrutan Egenskaper för ny regel.
Skapa en filterlista med dialogrutan Hantera IP-filterlistor och filteråtgärder

  1. Högerklicka på noden för IP-säkerhetsprinciper och välj Hantera IP-filterlistor och filteråtgärder.

  2. Klicka på Lägg till på fliken Hantera listor över IP-filter.

  3. Avmarkera kryssrutan Använd guiden på fliken IP-filterlista om du vill skapa filterlistan i dialogrutan Egenskaper. Låt kryssrutan vara markerad om du vill använda guiden. Klicka på Lägg till. Följande anvisningar beskriver hur du skapar en filterlista med hjälp av dialogrutan.

  4. Välj en IP-adress till källan (den lokala datorn) och målet (en IPSec-peer) på fliken Adresser i dialogrutan Egenskaper för IP-filter.

  5. Välj vilken typ av protokoll som filtret ska matcha på fliken Protokoll.

  6. (Valfritt) Ange en beskrivning av filtret på fliken Beskrivning. Beskrivningen kan vara till hjälp när du sorterar filtren, och gör att du snabbt kan känna igen ett filter utan att öppna dess egenskaper.

  7. Klicka på OK.

  8. Upprepa stegen 4 till 8 för att lägga till ytterligare filter i listan.

  9. Ange ett beskrivande namn på filterlistan i dialogrutan IP-filterlista. Klicka på OK om du vill lägga till filterlistan i regeln.

Se även

Innehåll