选择防火墙规则中的“只允许安全连接”时,即指定了网络数据包必须由 Internet 协议安全性 (IPsec) 保护,否则该数据包与规则不匹配。如果单击该选项旁边的“自定义”,则可以对这些选项进行配置,从而使您能够指定所需 IPsec 保护的类型。
必须选择下面介绍的前三个选项中的一个。最后一个选项“替代阻止规则”可以单独选择,不受其他选项的影响。
 | 打开此对话框的步骤 |
使用新建防火墙规则向导创建防火墙规则时,在“操作”页上,单击“只允许安全连接”,然后单击“自定义”。
修改现有防火墙规则时,在“常规”选项卡上,选择“只允许安全连接”,然后单击“自定义”。
仅允许经过身份验证和完整性保护的连接
这是默认选项。使用此选项可以要求所有匹配网络数据包按照单独连接安全规则中的定义使用 IPsec 身份验证和完整性算法。如果匹配所有其他标准的网络数据包既未通过身份验证也未使用完整性算法进行保护,则该网络数据包不匹配此规则并将被阻止。
 | 注意 |
应用于运行 Windows Vista 或更新版本 Windows 的计算机时支持该设置。 |
要求对连接进行加密
使用此选项可以要求所有匹配网络数据包按照单独连接安全规则中的定义使用数据加密。如果匹配所有其他标准的网络数据包未被加密,则该网络数据包不匹配此规则并将被阻止。启用此选项时,高级安全 Windows 防火墙将使用“自定义数据保护设置”对话框上的设置。
允许计算机动态协商加密
该选项仅适用于入站规则。使用此选项可以允许身份验证成功的网络连接,在协商加密算法时发送和接收未加密的网络流量。
 | 安全 注意 |
协商加密时,将以明文形式发送网络流量。如果在此期间通过连接发送的网络流量对于纯文本传输而言过于敏感,请勿指定此选项。 |
允许连接使用空封装
使用此选项可以要求所有匹配网络数据包使用 IPsec 身份验证,但不要求完整性或加密保护。建议仅在使用与封装式安全措施负载 (ESP) 或身份验证标头 (AH) 完整性协议不兼容的网络设备或软件时使用此选项。
| 注意 |
应用于运行 Windows 7 或 Windows Server 2008 R2 的计算机时支持此设置。此设置不适用于运行早期版本 Windows 的计算机。 |
替代阻止规则
使用此选项可以允许匹配此防火墙规则的网络数据包替代任何阻止防火墙规则。此选项也称为“跳过身份验证”。通常,显式阻止连接的规则优先于允许连接的规则。如果使用此选项,则即使其他规则阻止连接也会允许该连接。您可以有效声明允许匹配该规则的网络流量,因为已将其验证为来自已授权和受信任的用户或计算机。
此选项通常用于允许受信任程序(如网络漏洞扫描仪和其他网络工具)无限制运行。尽管典型防火墙配置确实会并应该阻止来自此类设备的网络流量,但您可以创建识别已授权计算机的规则。“替代阻止规则”选项仅允许来自这些已授权计算机的流量。如果不使用此选项,则匹配相同防火墙规则标准的任何阻止防火墙规则将处于优先地位,且将阻止连接。
如果选择此选项,则必须在新建防火墙规则向导的“计算机”页或“防火墙规则属性”对话框的“计算机”选项卡上至少指定一个要授权的计算机或计算机组。
| 注意 |
如果在“高级安全 Windows 防火墙属性”对话框上将防火墙操作状态配置为“阻止所有连接”,则即使设置此选项也将阻止所有网络流量。 |