IPSec 规则

单个筛选器列表，包含一个或多个预定义的数据包筛选器，用于描述已应用与此规则的已配置筛选器操作进行通信的类型。该筛选器列表在 IPSec 策略内的 IPSec 规则属性的“IP 筛选器列表”选项卡上进行配置。有关筛选器列表的详细信息，请参阅筛选器列表。

单个筛选器操作，包括与筛选器列表匹配的数据包所需的操作类型（允许、阻止或协商安全）。对于“协商安全”筛选器操作，协商数据包含 IKE 协商与其他 IPSec 设置期间使用的一个或多个安全方法（按优先顺序排列）。每一个安全方法确定使用的安全协议（例如 AH 或 ESP）、加密算法以及会话密钥重新生成设置。协商数据在 IPSec 策略内的 IPSec 规则属性的“筛选器操作”选项卡上配置。有关详细信息，请参阅筛选器操作。

配置的一个或多个身份验证方法（按首选顺序排列），在主模式协商期间用于 IPSec 对等端的身份验证。可用的身份验证方法包括 Kerberos V5 身份验证协议、使用指定的证书颁发机构 (CA) 颁发的证书，或预共享密钥。身份验证数据在 IPSec 策略内的 IPSec 规则属性的“身份验证方法”选项卡上进行配置。有关详细信息，请参阅 IPSec 身份验证。

指定是否以隧道方式进行通信，如果是，则指定隧道终结点的 IP 地址。对于出站通信，隧道终结点是 IPSec 隧道对等端的 IP 地址。对于入站通信，隧道终结点是本地 IP 地址。隧道终结点在 IPSec 策略内的 IPSec 规则的属性的“隧道设置”选项卡上进行配置。必须创建两个隧道规则，每个规则适用于通信传送的一个方向。有关详细信息，请参阅 IPSec 隧道设置。

指定规则是应用于局域网 (LAN) 连接还是应用于远程连接，或者同时应用于两种连接。连接类型在 IPSec 策略内的 IPSec 规则属性的“连接类型”选项卡上进行配置。有关详细信息，请参阅 IPSec 连接类型。

默认响应规则用来确保计算机响应安全通信的请求。如果未对活动策略定义请求安全通信的规则，则当启用默认响应规则之后，将应用默认响应规则并对安全进行协商。例如，当计算机 A 与计算机 B 进行安全通信，并且未对计算机 B 定义计算机 A 的入站筛选器时，将使用默认响应规则。

无法删除可用于所有策略的默认响应规则，但是可以停用此规则。使用“IP 安全策略向导”创建新 IPSec 策略时，可以找到启用此规则的选项。

	注意
	在分配给运行 Windows Vista(R) 或更高版本 Windows 的计算机的策略中，将会忽略默认响应规则。

可以对默认响应规则配置身份验证方法和安全方法。筛选器列表 <动态> 表明未配置筛选器列表，但已根据 IKE 协商数据包的接收情况自动创建了此筛选器。筛选器操作“默认响应”表明无法配置筛选器操作（允许、阻止或协商安全）。