快速模式 (亦稱為「階段 2」) IKE 交涉會建立兩台電腦間的安全性通道,以保護資料。因為此階段涉及代表 IPsec 服務進行交涉之安全性關聯 (SA) 的建立,所以於快速模式期間所建立的 IPsec 服務亦稱為 IPsec SA。在快速模式期間,金鑰處理內容會重新整理,或是必要時,會產生新的金鑰。保護特定 IP 流量的保護套件也會被選取。保護套件是一組已定義的資料完整性或資料加密設定。因為快速模式會依存於主要模式交換,所以它不被視為是一個完整的交換。
監視快速模式 SA 可以提供有關目前連接到此電腦之對等電腦、是使用哪個保護套件來形成 SA、以及其他資訊的相關資訊。
一般篩選器
一般篩選器是設定來使用任何 IP 位址選項以做為來源或目的地位址的 IP 篩選器。IPsec 也允許您在篩選器的設定中使用關鍵字,例如,我的 IP 位址、DNS 伺服器、DHCP 伺服器、WINS 伺服器,以及預設閘道。使用關鍵字時,一般篩選器會在 IP 安全性監視嵌入式管理單元中顯示關鍵字。特定篩選器是從一般篩選器,藉由將關鍵字展開成特定 IP 位址所衍生。
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 名稱。
- 來源。此為封包來源的 IP 位址。
- 目的地。此為封包目的地的 IP 位址。
- 來源連接埠。此為封包來源的 TCP 或 UDP 連接埠。
- 目的地連接埠。此為封包目的地的 TCP 或 UDP 連接埠。
- 來源通道端點。此為最接近本機電腦的通道端點,如果有指定的話。
- 目的地通道端點。此為最接近目的電腦的通道端點,如果有指定的話。
- 通訊協定。此為篩選器中所指定的通訊協定。
- 輸入動作。此表示不論輸入流量是否為「已允許」、「已封鎖」,或是使用「交涉安全性」動作。
- 輸出動作。此表示不論輸出流量是否為「已允許」、「已封鎖」,或是使用「交涉安全性」動作。
- 交涉原則。此為快速模式交涉原則的名稱,或加密編譯設定。
- 連線類型。此為這個篩選器所套用到的連線類型,可能是區域網路 (LAN)、遠端存取,或是所有網路連線類型。
特定篩選器
特定篩選器是藉由針對實際連線使用來源或目的電腦的 IP 位址,從一般篩選器所擴充的。例如,如果您有篩選器是使用 [我的 IP 位址] 選項做為來源位址,且使用 [DHCP 伺服器] 選項做為目的地位址,之後在使用此篩選器來建立連線時,就會自動建立擁有您電腦的 IP 位址及此電腦所使用之 DHCP 伺服器 IP 位址的篩選器。
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 名稱。
- 來源。此為封包來源的 IP 位址。
- 目的地。此為封包目的地的 IP 位址。
- 來源連接埠。此為封包來源的 TCP 或 UDP 連接埠。
- 目的地連接埠。此為封包目的地的 TCP 或 UDP 連接埠。
- 來源通道端點。此為最接近本機電腦的通道端點,如果有指定的話。
- 目的地通道端點。此為最接近目的電腦的通道端點,如果有指定的話。
- 通訊協定。此為篩選器中所指定的通訊協定。
- 輸入動作。此表示不論輸入流量是否為「已允許」、「已封鎖」,或是使用「交涉安全性」動作。
- 輸出動作。此表示不論輸出流量是否為「已允許」、「已封鎖」,或是使用「交涉安全性」動作。
- 交涉原則。此為快速模式交涉原則的名稱,或加密編譯設定。
- 權數。此為 IPsec 服務給予篩選器的優先順序。權數是衍生自一些係數。如需篩選器權數的相關資訊,請參閱
https://go.microsoft.com/fwlink/?LinkId=62212 (可能為英文網頁) 。
附註 權數屬性在執行 Windows Windows Vista®、Windows Server® 2008 或較新版本的電腦上一律設定為 0。
交涉規則
交涉原則是安全性方法喜好設定順序,兩台對等的電腦在快速模式交涉期間進行通訊時會使用此順序。
統計
這個表格會顯示「快速模式統計」檢視中可用的統計:
| IPsec 統計 | 描述 |
|---|---|
使用中安全關聯 | 此為使用中 IPsec SA 的數目。 |
卸載的安全性關聯 | 此為硬體卸載的使用中 IPsec SA 數目。 |
擱置金鑰操作 | 此為進行中的 IPsec 金鑰操作之數目。 |
新增金鑰 | 此為成功的 IPsec SA 交涉之總數。 |
金鑰刪除 | 此為 IPsec SA 的金鑰刪除之數目。 |
重設金鑰 | 此為 IPsec SA 的重設金鑰操作之數目。 |
使用中通道 | 此為使用中 IPsec 通道的數目。 |
損壞的 SPI 封包 | 此為安全性參數索引 (SPI) 不正確的封包總數。SPI 是用於對照輸入封包與 SA。如果 SPI 是不正確的,它可能表示輸入 SA 已到期,而且使用舊 SPI 的封包最近剛到達。如果重設金鑰間隔很短,而 SA 數很多,則這個數字可能增加。因為 SA 在正常情況下會到期,所以損壞的 SPI封包不一定表示 IPsec 失敗。 |
封包未解密 | 此為解密失敗的封包總數。這項失敗可能表示封包送達已到期的 SA。如果 SA 到期,用於解密封包的工作階段金鑰也會遭到刪除。這不一定表示 IPsec 失敗。 |
封包未驗證 | 此為資料未經確認的封包總數。這項失敗很可能是由已到期的 SA 所引起。 |
封包的重新偵測 | 此為包含有效序號欄位的封包總數。 |
已傳送的機密位元組 | 此為使用 ESP 通訊協定所傳送的位元組總數。 |
收到機密位元組 | 此為使用 ESP 通訊協定所接收的位元組總數。 |
已傳送的驗證位元組 | 此為使用 AH 通訊協定所傳送的位元組總數。 |
收到驗證位元組 | 此為使用 AH 通訊協定所接收的位元組總數。 |
已傳送的傳輸位元組 | 此為使用 IPsec 傳輸模式所傳送的位元組總數。 |
已接收的傳輸位元組 | 此為使用 IPsec 傳輸模式所接收的位元組總數。 |
在通道傳送的位元組 | 此為使用 IPsec 通道模式所傳送的位元組總數。 |
在通道接收的位元組 | 此為使用 IPsec 通道模式所接收的位元組總數。 |
送出的卸載位元組 | 此為使用硬體卸載所傳送的位元組總數。 |
接收的卸載位元組 | 此為使用硬體卸載所接收的位元組總數。 |
| 附註 |
這些統計有部分是用於偵測網路攻擊嘗試。 |
安全性關聯
這個檢視會顯示此電腦的使用中 SA。SA 是交涉的金鑰、安全性通訊協定以及 SPI 的組合,它定義了用來保護傳送者對接收者之通訊的安全性。因此,藉由查看此電腦的安全性關聯,您可以判斷哪些電腦會與此電腦連線、哪些類型的資料完整性與加密會用於該連線,以及其他資訊。
當您正在測試 IPsec 原則並對存取問題進行疑難排解時,此資訊會相當有用。
新增、移除及排序欄位
您可以在結果窗格中新增、移除、重新安排及排序這些欄位:
- 我。此為本機電腦的 IP 位址。
- 對等。此為遠端電腦的 IP 位址。
- 通訊協定。此為篩選器中所指定的通訊協定。
- 我的連接埠。此為篩選器中所指定之本機電腦的 TCP 或 UDP 連接埠。
- 對等連接埠。此為篩選器中所指定之遠端電腦的 TCP 或 UDP 連接埠。
- 交涉原則。此為快速模式交涉原則的名稱,或加密編譯設定。
- AH 完整性。此為用於對等通訊之 AH 通訊協定特定的資料完整性方法。
- ESP 機密性。此為用於對等通訊之 ESP 通訊協定特定的加密方法。
- ESP 完整性。此為用於對等通訊之 ESP 通訊協定特定的資料完整性方法。
- 我的通道端點。此為最接近本機電腦的通道端點,如果有指定的話。
- 對等通道端點。此為最接近本機電腦的通道端點,如果有指定的話。