Hızlı Mod (Aşama 2 olarak da bilinir), IKE anlaşması verileri korumak için iki bilgisayar arasında güvenli bir kanal oluşturur. Bu aşama IPsec hizmeti adına anlaşan güvenlik ilişkilerinin (SA'lar) kurulmasını içerdiğinden Hızlı Mod sırasında oluşturulan SA'lara IPsec SA'ları adı verilir. Hızlı Mod sırasında anahtarlama malzemesi yenilenir veya gerekiyorsa, yeni anahtarlar üretilir. Belirtilen IP trafiğini koruyan koruma grubu da seçilir. Koruma grubu, tanımlanmış veri bütünlüğü veya veri şifreleme ayarları kümesidir. Ana Mod değişimine bağlı olduğundan Hızlı Mod tam bir değişim olarak kabul edilmez.
Hızlı Mod SA'larının izlenmesi, bu bilgisayara bağlı eşler, SA'yı biçimlendirmek için kullanılan koruma grubu gibi bilgileri ve diğer bilgileri sağlayabilir.
Genel filtreler
Genel filtreler herhangi bir IP adresi seçeneğini kaynak veya hedef adresi olarak kullanmak üzere yapılandırılan IP filtreleridir. IPsec, filtrelerin yapılandırmasında IP Adresim, DNS Sunucusu, DHCP Sunucusu, WINS Sunucuları ve Varsayılan Ağ Geçidi gibi anahtar sözcükler kullanmanıza olanak sağlar. Anahtar sözcükler kullanıldığında genel filtreler anahtar sözcükleri IP Güvenlik İzleme ek bileşeninde gösterir. Anahtar sözcükler özel IP adreslerine genişletilerek genel filtrelerden özel filtreler türetilir.
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ad.
- Kaynak. Bu, paket kaynağının IP adresidir.
- Hedef. Bu, paket hedefinin IP adresidir.
- Kaynak Bağlantı Noktası. Bu, paket kaynağının TCP veya UDP bağlantı noktasıdır.
- Hedef Bağlantı Noktası. Bu, paket hedefinin TCP veya UDP bağlantı noktasıdır.
- Kaynak Tüneli Bitiş Noktası. Bu, belirtildiyse, yerel bilgisayara en yakın tünel bitiş noktasıdır.
- Hedef Tüneli Bitiş Noktası. Bu, belirtildiyse, hedef bilgisayara en yakın tünel bitiş noktasıdır.
- Protokol. Bu, filtrede belirtilen protokoldür.
- Gelen Eylem. Bu, gelen trafiğin İzin Verilen, Engellenen veya Güvenlik Anlaşması eylemi olup olmadığını belirtir.
- Giden Eylem. Bu, giden trafiğin İzin Verilen, Engellenen veya Güvenlik Anlaşması eylemi olup olmadığını belirtir.
- Anlaşma İlkesi. Bu, Hızlı Mod anlaşma ilkesinin veya şifreleme ayarlarının adıdır.
- Bağlantı Türü. Bu, söz konusu filtrenin uygulandığı bağlantı türü, yerel ağ (LAN), uzaktan erişim veya tüm ağ bağlantısı türleridir.
Özel filtreler
Belirli filtreler, geçerli bağlantının kaynak veya hedef bilgisayar IP adreslerini kullanarak genel filtrelerden genişletilir. Örneğin, kaynak adres olarak IP Adresim seçeneğini, hedef adres olarak DHCP Sunucusu seçeneğini kullanan bir filtreniz varsa, bu filtreyi kullanarak bir bağlantı oluşturulduğunda, bilgisayarınızın IP adresi ve bu bilgisayarın kullandığı DHCP sunucusunun IP adresinin olduğu bir filtre oluşturulur.
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ad.
- Kaynak. Bu, paket kaynağının IP adresidir.
- Hedef. Bu, paket hedefinin IP adresidir.
- Kaynak Bağlantı Noktası. Bu, paket kaynağının TCP veya UDP bağlantı noktasıdır.
- Hedef Bağlantı Noktası. Bu, paket hedefinin TCP veya UDP bağlantı noktasıdır.
- Kaynak Tüneli Bitiş Noktası. Bu, belirtildiyse, yerel bilgisayara en yakın tünel bitiş noktasıdır.
- Hedef Tüneli Bitiş Noktası. Bu, belirtildiyse, hedef bilgisayara en yakın tünel bitiş noktasıdır.
- Protokol. Bu, filtrede belirtilen protokoldür.
- Gelen Eylem. Bu, gelen trafiğin İzin Verilen, Engellenen veya Güvenlik Anlaşması eylemi olup olmadığını belirtir.
- Giden Eylem. Bu, giden trafiğin İzin Verilen, Engellenen veya Güvenlik Anlaşması eylemi olup olmadığını belirtir.
- Anlaşma İlkesi. Bu, Hızlı Mod anlaşma ilkesinin veya şifreleme ayarlarının adıdır.
- Ağırlık. Bu, IPsec hizmetinin filtreye verdiği önceliktir. Ağırlık çok sayıda etkenden türetilir. Filtre ağırlıkları hakkında daha fazla bilgi için, bkz.
https://go.microsoft.com/fwlink/?LinkId=62212 (Bu sayfa İngilizce içeriğe sahip olabilir) .
Not Windows Vista®, Windows Server® 2008 veya sonraki Windows sürümlerini çalıştıran bilgisayarlarda ağırlık özelliği her zaman 0 değerine ayarlıdır.
Anlaşma ilkeleri
Anlaşma ilkesi, Hızlı Mod anlaşmaları sırasında iki eş bilgisayarın birbirleriyle iletişim kurarken kullanmak üzere üzerinde anlaştıkları güvenlik yöntemi tercih sırasıdır.
İstatistikler
Bu tablo Hızlı Mod İstatistikler görünümünden kullanılabilecek istatistikleri görüntülemektedir:
IPsec İstatistiği | Açıklama |
---|---|
Etkin Güvenlik İlişkileri Sayısı | Bu, etkin IPsec SA'ları sayısıdır. |
Devredilen Güvenlik İlişkileri Sayısı | Bu, donanıma devredilen etkin IPsec SA'ları sayısıdır. |
Bekleyen Anahtar İşlemleri Sayısı | Bu, devam eden IPsec anahtar işlemlerinin sayısıdır. |
Anahtar Eklemeleri | Bu, başarılı IPsec SA anlaşmalarının toplam sayısıdır. |
Anahtar Silme Sayısı | Bu, IPsec SA'ları için anahtar silme sayısıdır. |
Anahtar Yenileme Sayısı | Bu, IPsec SA'ları için yeniden anahtarlama işlemlerinin sayısıdır. |
Etkin Tüneller | Bu, etkin IPsec tünelleri sayısıdır. |
Bozuk SPI Paketleri | Bu, Güvenlik Parametreleri Dizini'nin (SPI) yanlış olduğu toplam paket sayısıdır. Gelen paketleri SA'larla eşleştirmek için SPI kullanılır. SPI yanlışsa, gelen SA'nın geçerliliği sona ermiş ve eski SPI'yi kullanan bir paket yeni gelmiş olabilir. Yeniden girme aralıkları kısaysa ve çok sayıda SA varsa, bu sayı artabilir. Normal şartlarda SA'ların kullanım süreleri sona erdiğinden bozuk SPI paketi, IPsec'in başarısız olduğu anlamına gelmez. |
Şifresi Çözülmeyen Paketler | Bu, şifresi çözülemeyen toplam paket sayısıdır. Bu başarısızlık SA için gelen paketin süresinin sona erdiği anlamına gelebilir. SA'nın süresi sona erdiyse, paketin şifresini çözmek için kullanılan oturum anahtarı da silinir. Bu, IPsec'in başarısız olduğu anlamına gelmeyebilir. |
Doğrulanmayan Paket Sayısı | Bu, verilerin doğrulanamadığı toplam paket sayısıdır. Bu başarısızlık büyük olasılıkla süresi sona eren SA'dan kaynaklanır. |
Yeniden Gönderme Algılamalı Paket Sayısı | Bu, geçerli Sıra Numarası alanı içeren toplam paket sayısıdır. |
Gönderilen Gizli Bayt Sayısı | Bu, ESP protokolü kullanılarak gönderilen toplam bayt sayısıdır. |
Alınan Gizli Bayt Sayısı | Bu, ESP protokolü kullanılarak alınan toplam bayt sayısıdır. |
Gönderilen Doğrulanmış Bayt Sayısı | Bu, AH protokolü kullanılarak gönderilen toplam bayt sayısıdır. |
Alınan Doğrulanmış Bayt Sayısı | Bu, AH protokolü kullanılarak alınan toplam bayt sayısıdır. |
Gönderilen Taşıma Baytı Sayısı | Bu, IPsec Taşıma Modu kullanılarak gönderilen toplam bayt sayısıdır. |
Alınan Taşıma Baytı Sayısı | Bu, IPsec Taşıma Modu kullanılarak alınan toplam bayt sayısıdır. |
Tünellerde Gönderilen Bayt Sayısı | Bu, IPsec Tünel Modu kullanılarak gönderilen toplam bayt sayısıdır. |
Tünellerde Alınan Bayt Sayısı | Bu, IPsec Tünel Modu kullanılarak alınan toplam bayt sayısıdır. |
Gönderilen Devredilmiş Bayt Sayısı | Bu, donanım boşaltması kullanılarak gönderilen toplam bayt sayısıdır. |
Alınan Devredilmiş Bayt Sayısı | Bu, donanım boşaltması kullanılarak alınan toplam bayt sayısıdır. |
Not | |
Bu istatistiklerin bazıları ağ üzerinden saldırı girişimlerini algılamak için kullanılabilir. |
Güvenlik ilişkileri
Bu görünüm bu bilgisayardaki etkin SA'ları görüntüler. SA, üzerinde anlaşılmış bir anahtar, güvenlik protokolü ve SPI birleşiminden oluşur. Bunlar birlikte kullanıldığında, gönderenden alana doğru iletişimi korumak için kullanılan güvenliği tanımlar. Bu nedenle, bilgisayarın güvenlik ilişkilerine bakarak bu bilgisayarla bağlantı kuran bilgisayarları, bağlantı için kullanılan veri bütünlüğü ve şifreleme türünü ve diğer bilgileri belirleyebilirsiniz.
Bu bilgiler IPsec ilkelerini sınarken ve erişim sorunlarını giderirken yardımcı olabilir.
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ben . Bu, yerel bilgisayarın IP adresidir.
- Eş. Bu, uzak bilgisayarın IP adresidir.
- Protokol. Bu, filtrede belirtilen protokoldür.
- Bağlantı Noktam. Bu, yerel bilgisayarın filtrede belirtilen TCP veya UDP bağlantı noktasıdır.
- Eş Bağlantı Noktası. Bu, uzak bilgisayarın filtrede belirtilen TCP veya UDP bağlantı noktasıdır.
- Anlaşma İlkesi. Bu, Hızlı Mod anlaşma ilkesinin veya şifreleme ayarlarının adıdır.
- AH Bütünlüğü. Bu, eş iletişimleri için kullanılan AH protokolüne özgü veri bütünlüğü yöntemidir.
- ESP Gizliliği. Bu, eş iletişimleri için kullanılan ESP protokolüne özgü şifreleme yöntemidir.
- ESP Bütünlüğü. Bu, eş iletişimleri için kullanılan ESP protokolüne özgü veri bütünlüğü yöntemidir.
- Tünel Bitiş Noktam. Bu, belirtildiyse, yerel bilgisayara en yakın tünel bitiş noktasıdır.
- Eş Tüneli Bitiş Noktası. Bu, belirtildiyse, yerel bilgisayara en yakın tünel bitiş noktasıdır.