除阻止或允许规则的情况以外,IP 筛选器列表将根据与源、目标和 IP 通信类型的匹配情况触发安全协商。此类型的 IP 数据包筛选使管理员能够准确定义保护哪些 IP 通信。每个 IP 筛选器列表包含一个或多个筛选器,这些筛选器可定义 IP 地址和通信类型。一个 IP 筛选器列表可用于多种通信方案。

除非有阻止规则或允许规则,否则 IPSec 需要在筛选器列表中同时指定计算机之间的入站筛选器和出站筛选器。入站筛选器适用于传入通信,并使接收端计算机能够响应安全通信,或者按照 IP 筛选器列表匹配通信。出站筛选器适用于在发送通信之前传出计算机的通信,并指挥安全协商。

通过使用“镜像”复选框,可基于筛选器设置自动创建以下两个筛选器:一个适用于到目标计算机的通信,另一个适用于来自目标计算机的通信。这将允许与其他计算机进行双向通信。

筛选器列表设置

可以在创建策略时或者在创建策略之前定义筛选器列表(以及筛选器操作)。筛选器列表可用于任何策略。若要定义筛选器列表,请右键单击“IP 安全策略”节点,然后选择“管理 IP 筛选器列表和筛选器操作”

每个筛选器定义入站或出站网络通信的子集,即筛选器操作通过保护通信(使用身份验证、数据完整性或数据加密)、完全阻止或允许(不使用身份验证、数据完整性或数据加密)的方式进行操作。必须有一个筛选器包含应用相关规则的所有通信。筛选器包含下列设置:

  • IP 数据包的源地址和目标地址。可以配置分配给 IPSec 对等端的任何 IP 地址、配置单个 IP 地址、配置按 DNS 名称指定的 IP 地址或配置指定 IP 子网的多组地址。

  • 用于传送数据包的协议。它自动涵盖 TCP/IP 协议集中的所有协议。但是,可以为单个协议(包括自定义协议)配置此协议以符合特殊要求。

  • TCP 和 UDP 协议的源端口和目标端口。默认情况下,会包括所有 TCP 与 UDP 端口,但可将该选项配置为只适用于特定 TCP 或 UDP 端口。

重要

仅当创建筛选器列表,并且之后未更新此列表时,才会进行 DNS 名称解析。因此,如果 IP 地址更改,则不会更新策略。若要更新 IP 地址,必须编辑策略。

使用“新建规则属性”对话框创建筛选器列表的步骤:
  1. 在“IP 安全策略属性”对话框中,选择正确的 IP 安全规则后单击“编辑”,或者可以通过单击“添加”创建新规则。

  2. 如果要在属性对话框中创建筛选器列表,请在“IP 筛选器列表”选项卡上清除“使用添加向导”复选框。如果要使用该向导,请选中此复选框。单击“添加”。以下是有关使用对话框创建筛选器列表的说明。

  3. 在“IP 筛选器属性”对话框的“地址”选项卡上,选择源(本地)IP 地址和目标(即 IPSec 对等端)IP 地址。

  4. 在“协议”选项卡上,选择将与筛选器匹配的协议类型。

  5. (可选)在“描述”选项卡上,键入筛选器的描述。此描述可以帮助您排序筛选器,并允许您无需打开筛选器属性即可快速识别筛选器。

  6. 单击“确定”

  7. 重复步骤 4 到步骤 8,将其他筛选器添加到列表中。

  8. 在“IP 筛选器列表”对话框中,键入筛选器列表的描述性名称。单击“确定”将筛选器列表添加到规则。

  9. 在“新建规则属性”对话框中,选择筛选器列表。

使用“管理筛选器列表和筛选器操作”对话框创建筛选器列表的步骤:
  1. 右键单击“IP 安全策略”节点,然后选择“管理 IP 筛选器列表和筛选器操作”

  2. 在“管理 IP 筛选器列表”选项卡上,单击“添加”

  3. 如果要在属性对话框中创建筛选器列表,请清除“IP 筛选器列表”对话框中的“使用添加向导”复选框。如果要使用该向导,请选中此复选框。单击“添加”。以下是有关使用对话框创建筛选器列表的说明。

  4. “IP 筛选器属性”对话框的“地址”选项卡上,选择源(本地)IP 地址和目标(即 IPSec 对等端)IP 地址。

  5. “协议”选项卡上,选择将与筛选器匹配的协议类型。

  6. (可选)在“描述”选项卡上,键入筛选器的描述。此描述可以帮助您排序筛选器,并允许您无需打开筛选器属性即可快速识别筛选器。

  7. 单击“确定”

  8. 重复步骤 4 到步骤 8,将其他筛选器添加到列表中。

  9. “IP 筛选器列表”对话框中,键入筛选器列表的描述性名称。单击“确定”将筛选器列表添加到规则。

请参阅