可以使用新建连接安全规则向导创建 Internet 协议安全性 (IPsec) 规则,以实现不同的网络安全目标。使用此页可以选择要创建的规则的类型。
该向导提供了四种预定义的规则类型。还可以创建一条自定义规则。
 | 注意 |
作为最佳做法,请为每个连接安全规则指定唯一的名称,以便以后可以使用 Netsh 命令行工具管理这些规则。请不要将安全规则命名为“all”,因为该名称与 netsh 命令中的 all 关键字冲突。 |
 | 打开此向导页的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”。
此时会显示“规则类型”页。
隔离
隔离规则可根据您定义的身份验证标准对连接进行限制。例如,您可以使用此规则类型来隔离加入您域中的计算机和域外的计算机(例如 Internet 上的计算机)。如果选择此规则类型,则除“名称”页之外,还会在向导中启用下列页面:
免除身份验证
使用此选项可以创建使指定计算机免于进行身份验证的规则,而不考虑其他连接安全规则。此规则类型通常用于授权访问基础结构计算机,如 Active Directory 域控制器、证书颁发机构 (CA) 或 DHCP 服务器,此计算机必须在执行身份验证前与之通信。它还用于无法使用为此策略和配置文件配置的身份验证形式的计算机。
如果选择此规则类型,则除“名称”页之外,还会在向导中启用下列页面:
| 注意 |
虽然计算机已免除身份验证,但来自这些计算机的网络流量仍然可能被 Windows 防火墙阻止,除非防火墙规则允许它们进行连接。 |
服务器到服务器
使用此规则类型对两台指定计算机之间、两个计算机组之间、两个子网之间或者指定计算机和计算机组或子网之间的通信进行身份验证。可以使用此规则对数据库服务器和业务层计算机之间或基础结构计算机和其他服务器之间的流量进行身份验证。此规则与隔离规则类型类似,但将显示“终结点”页,以便您可以识别受此规则影响的计算机。
如果选择此规则类型,则除“名称”页之外,还会在向导中启用下列页面:
隧道
使用此规则类型,可以通过 IPsec 中的隧道模式而非传输模式确保两台计算机之间安全地进行通信。隧道模式将整个网络数据包嵌入到在两个已定义终结点之间路由的网络数据包。对于每个终结点,您可以指定接收和消耗通过隧道发送的网络流量的单个计算机,或者指定连接到专用网络的网关计算机,接收隧道终结点从隧道中提取接收的流量后会将流量路由到该专用网络。
如果选择此规则类型,则除“名称”页之外,还会在向导中启用下列页面: