Psec, şifreleme güvenlik hizmetlerini kullanarak IP ağları üzerinden özel, güvenli bir iletişim sağlamaya yönelik açık standartlar çerçevesidir. Microsoft Windows'un IPsec uygulaması Internet Mühendisliği İşbirliği Grubu (IETF) IPsec çalışma grubu tarafından geliştirilen standartları temel alır.

IPsec, kaynak IP adresinden hedef IP adresine yönelik iletişimin güven ve güvenliğini belirler. Güvenliği sağlanan trafiği bilmesi gereken bilgisayarlar yalnızca, gönderen ve alan bilgisayarlardır. Her iki bilgisayar da, iletişimin gerçekleştirildiği ortamın güvenli olmadığını varsayarak, güveni kendi tarafında sağlar. İki bilgisayar arasında güvenlik duvarı türünde paket süzme veya ağ adresi çevirme (NAT) işlemi yapılmıyorsa, kaynaktan gelen verileri yalnızca hedefe yönlendiren bilgisayarların IPsec'i desteklemesi gerekmez.

Bu bilgisayarda ve uzak bilgisayarlarda IPsec ilkeleri oluşturmak, düzenlemek ve atamak için IP Güvenlik İlkesi ek bileşenini kullanabilirsiniz.

Not

Bu belgeler, IP Güvenlik İlkesi ek bileşenini anlamanız ve kullanmanız için yeterli bilgileri sağlamayı amaçlamaktadır. İlkeleri tasarlamak ve dağıtmayla ilgili bilgiler bu belgelerin kapsamı dışındadır.

IPsec ilkeleri hakkında

IPsec ilkeleri IPsec güvenlik hizmetlerini yapılandırmak için kullanılır. İlkeler, varolan ağların çoğunda, birçok akış türü için çeşitli koruma düzeyleri sağlar. IPsec ilkelerini, bir bilgisayar, kuruluş birimi (OU), etki alanı, site veya genel kuruluşun güvenlik gereksinimlerini karşılayacak biçimde yapılandırabilirsiniz. Bu Windows sürümünde sağlanan IP Güvenlik İlkeleri ek bileşenini, Grup İlkesi nesneleri (etki alanı üyeleri için) aracılığıyla bilgisayarlar için veya yerel bilgisayarlarda veya uzak bilgisayarlarda IPsec ilkeleri tanımlamak amacıyla kullanabilirsiniz.

Önemli

IP Güvenlik İlkesi ek bileşeni, Windows Vista ve sonraki Windows sürümlerini çalıştıran bilgisayarlara uygulanabilecek IPsec ilkelerini oluşturmak için kullanılabilir, ancak bu ek bileşen yeni güvenlik algoritmalarını ve Windows Vista ve sonraki Windows sürümlerinde bulunan diğer yeni özellikleri kullanmaz. Bu bilgisayarlar için IPsec ilkeleri oluşturmak üzere Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ek bileşenini kullanın. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ek bileşeni, önceki Windows sürümlerine uygulanabilecek ilkeler oluşturmaz.

IPsec ilkesi, genel IPsec ilkesi ayarları ve kurallarından oluşur. Genel IPsec ilkesi ayarları hangi kuralların yapılandırıldığına bakılmaksızın uygulanır. Bu ayarlar ilkenin adını, yönetim amaçlarına yönelik açıklamasını, anahtar değişimi ayarlarını ve anahtar değişimi yöntemlerini belirler. Bir veya daha çok IPsec kuralı, IPsec'in hangi trafik türlerini denetleyeceğini, trafiğin nasıl işleneceğini, IPsec eşinin nasıl doğrulanacağını ve diğer ayarları belirler.

Bu ilkeler oluşturulduktan sonra etki alanı, site, OU ve yerel düzeyde uygulanabilir. Aynı anda bir bilgisayarda yalnızca bir ilke etkinleştirilebilir. Grup İlkesi nesneleri kullanılarak dağıtılan ve uygulanan ilkeler yerel ilkeleri geçersiz kılar.

IPsec İlkesi ek bileşen görevleri

Bu bölüm, IP Güvenlik İlkeleri ek bileşeni kullanarak gerçekleştirebileceğiniz en yaygın görevleri içerir.

İlke oluşturma

Yalnızca tek bir bilgisayar ve bu bilgisayarın IPsec eşinde ilkeler yaratmıyorsanız, BT ortamınıza uyması için IPsec ilkeleri kümesi oluşturmanız gerekecektir. Etki alanınızın boyutuna, etki alanındaki bilgisayarların benzer olmasına ve diğer etkenlere bağlı olarak ilkeleri tasarlama, oluşturma ve dağıtma işlemi karmaşık olabilir.

Genellikle işlem aşağıdaki gibidir:

  1. Ortamınızdaki bilgisayarlara, alt ağlara ve koşullara uygun IP filtresi listeleri oluşturun.

  2. İstediğiniz bağlantıların kimlik doğrulama yöntemlerine, uygulanacak veri bütünleştirmesine ve şifrelenecek verilere karşılık gelen filtre eylemleri oluşturun. Filtre eylemi, diğer ölçütlerden bağımsız olarak Önle veya İzin ver olabilir. Önle eyleminin diğer eylemlere göre önceliği vardır.

  3. Filtreleme ve filtre eylemi (güvenlik) gereksinimlerine uygun olan ilke kümesi oluşturun.

  4. Önce İzin ver ve Önle filtre eylemlerini kullanan ilkeleri dağıtın ve ardından bu ilkelerin ayarlanmasını gerektirebilecek sorunlar için IPsec ortamınızı izleyin.

  5. Metin iletişimlerini sıfırlamaya dönüş seçeneğinin olduğu Güvenlik Anlaşması filtre eylemini kullanarak ilkeleri dağıtın. Bu, iletişimleri bozmadan ortamınızda IPsec çalışmasını sınamanızı sağlar.

  6. İlkelerde gerekli düzeltmeleri yapar yapmaz, uygun olan yerlerde metin iletişimlerini sıfırlamayı kaldırın. Bu, bağlantı oluşturulmadan önce ilkelerin kimlik doğrulaması ve güvenlik istemesine neden olacaktır.

  7. Ana Mod Anlaşma Başarısızlığı istatistiklerinde ani artışla kendini gösterebilen gerçekleşmeyen iletişimler için ortamınızı izleyin.

Yeni IPsec ilkesi oluşturmak için
  1. IP Güvenlik İlkeleri düğümünü sağ tıklatın ve ardından IP Güvenlik İlkesi Oluştur'u tıklatın.

  2. IP Güvenlik İlkesi Sihirbazı'nda İleri'yi tıklatın.

  3. İlke için bir ad ve açıklama (isteğe bağlıdır) yazıp İleri'yi tıklatın.

  4. Varsayılan yanıt kuralını etkinleştir onay kutusunu işaretleyin veya boş bırakın, ardından İleri'yi tıklatın.

    Not

    Varsayılan yanıt kuralı yalnızca Windows XP, Windows Server 2003 ve önceki sürümlere uygulanan ilkeler için kullanılabilir. Sonraki Windows sürümleri varsayılan yanıt kuralını kullanamaz.

  5. Varsayılan yanıt kuralını kullanıyorsanız, bir kimlik doğrulama yöntemi seçin ve İleri'yi tıklatın.

    Varsayılan yanıt kuralı hakkında bilgi için bkz.: IPsec Kuralları.

  6. Özellikleri Düzenle onay kutusunu seçili olarak bırakın ve ardından İleri'yi tıklatın. İlkeye gerektiği kadar kural ekleyebilirsiniz.

İlkeye kural ekleme veya kuralı değiştirme

İlke kuralı eklemek için
  1. IPsec ilkesini sağ tıklatın ve sonra Özellikler'i tıklatın.

  2. Özellik iletişim kutusunda bir kural oluşturmak istiyorsanız, Ekleme Sihirbazını Kullan onay kutusundaki işareti kaldırın. Sihirbazı kullanmak için onay kutusunu seçili bırakın. Ekle'yi tıklatın. Aşağıdaki yönergeler iletişim kutusunu kullanarak kural oluşturmak içindir.

  3. Yeni Kural Özellikleri iletişim kutusunun IP Filtresi Listesi sekmesinde uygun filtre listesini seçin veya yeni filtre listesi eklemek için Ekle'yi tıklatın. Daha önce filtre listeleri oluşturduysanız, bunlar IP Filtresi Listeleri listesinde görüntülenir. Filtre listeleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz: Filtre Listeleri.

    Not

    Kural başına yalnızca bir filtre listesi kullanılabilir.

  4. Filtreleme Eylemi sekmesinde uygun filtreleme eylemini seçin veya yeni filtre eylemi eklemek için Ekle'yi tıklatın. Filtreleme eylemleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz: Filtreleme Eylemleri.

    Not

    Kural başına yalnızca bir filtreleme eylemi kullanılabilir.

  5. Kimlik Doğrulama Yöntemleri sekmesinde uygun yöntemi seçin veya yeni yöntem eklemek için Ekle'yi tıklatın. Kimlik doğrulama yöntemleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz: IPsec Kimlik Doğrulaması.

    Not

    Kural başına birden fazla yöntem kullanabilirsiniz. Bu yöntemler, listede görüntülendikleri sırayla denenirler. Sertifikaların kullanılacağını belirttiyseniz, bunları kullanılmasını istediğiniz sırayla listeye yerleştirin.

  6. Bağlantı Türü sekmesinde bu kuralın uygulandığı bağlantı türünü seçin. Bağlantı türleri hakkında daha fazla bilgi için, bkz: IPsec Bağlantı Türü.

  7. Tünel kullanıyorsanız, Tünel Ayarları sekmesinde son noktaları belirleyin. Varsayılan olarak tünel kullanılmaz. Tünelleri kullanma hakkında bilgi için, bkz: IPsec Tünel Ayarları. Tünel kuralları yansıtılamaz.

  8. Tüm ayarlar tamamlandığında Tamam'ı tıklatın.

İlke kuralını değiştirmek için
  1. IPsec ilkesini sağ tıklatın ve sonra Özellikler'i tıklatın.

  2. İlke Özellikleri iletişim kutusunda kuralı seçin ve Düzenle'yi tıklatın.

  3. Kural Özelliklerini Düzenle iletişim kutusunun IP Filtresi Listesi sekmesinde uygun filtre listesini seçin veya yeni filtre listesi eklemek için Ekle'yi tıklatın. Filtre listeleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz. Filtre Listeleri.

    Not

    Kural başına yalnızca bir filtre listesi kullanılabilir.

  4. Filtreleme Eylemi sekmesinde uygun filtreleme eylemini seçin veya yeni filtre listesi eklemek için Ekle'yi tıklatın. Filtreleme eylemleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz: Filtreleme Eylemleri.

    Not

    Kural başına yalnızca bir filtreleme eylemi kullanılabilir.

  5. Kimlik Doğrulama Yöntemleri sekmesinde uygun yöntemi seçin veya yeni yöntem eklemek için Ekle'yi tıklatın. Kimlik doğrulama yöntemleri oluşturma ve kullanma hakkında daha fazla bilgi için bkz. IPsec Kimlik Doğrulaması.

    Not

    Kural başına birden fazla yöntem kullanabilirsiniz. Bu yöntemler, listede görüntülendikleri sırayla denenirler.

  6. Bağlantı Türü sekmesinde bu kuralın uygulandığı bağlantı türünü seçin. Bağlantı türleri hakkında daha fazla bilgi için, bkz: IPsec Bağlantı Türü.

  7. Tünel kullanıyorsanız, Tünel Ayarları sekmesinde son noktaları belirleyin. Varsayılan olarak tünel kullanılmaz. Tünelleri kullanma hakkında bilgi için, bkz: IPsec Tünel Ayarları.

  8. Tüm ayarlar tamamlandığında Tamam'ı tıklatın.

İlke atama

Bu bilgisayara ilke atamak için
  • İlkeyi sağ tıklatın, ardından Ata'yı tıklatın.

    Notlar
    • Aynı anda bir bilgisayara yalnızca bir ilke atanabilir. Farklı bir ilkenin atanması, o sırada atanmış durumdaki ilkenin atamasını otomatik olarak kaldırır. Etki alanınızdaki Grup İlkesi bu bilgisayara farklı bir ilke atayabilir ve yerel ilkeyi yok sayabilir.
    • Bilgisayardan bilgisayara IPsec ilkesinin başarılı olması için diğer bilgisayarda yansıtılmış ilke oluşturmalı ve ilkeyi adı geçen bilgisayara atamalısınız.
    • Bu ilkeyi birden fazla bilgisayara atamak için Grup İlkesi'ni kullanın.

Ayrıca Bkz.