Kromě pravidla blokování nebo povolení spustí filtr IP vyjednávání zabezpečení na základě shody se zdrojem, místem určení a typem přenosu IP. Tento typ filtrování paketu IP umožňuje správci přesně definovat, který přenos IP je zabezpečen. Každý seznam IP filtrů obsahuje jeden nebo více filtrů, které definují IP adresy a typy přenosu. Jeden seznam IP filtrů lze použít pro různé scénáře komunikace.
Zabezpečení protokolu IP (IPsec) vyžaduje specifikaci jak filtru příchozí komunikace, tak filtru odchozí komunikace mezi počítači v seznamu filtrů, s výjimkou pravidel blokování a povolení. Filtr příchozí komunikace se vztahuje na příchozí přenosy a umožňuje přijímajícímu počítači reagovat na požadavky zabezpečení komunikace nebo porovnávat přenos se seznamem filtrů IP. Filtr odchozí komunikace se vztahuje na přenosy opouštějící počítač a provádí vyjednávání zabezpečení před odesláním přenosu.
Použitím zaškrtávacího políčka Zrcadlení automaticky vytvoříte dva filtry na základě nastavení filtrů: jeden pro přenosy do místa určení a druhý pro přenosy z místa určení. To umožňuje dvousměrnou komunikaci s jinými počítači.
Nastavení seznamu filtrů
Seznamy filtrů (a akce filtrů) lze určit při tvorbě zásady nebo před ní. Seznamy filtrů jsou k dispozici pro libovolnou zásadu. Chcete-li definovat seznam filtrů, klikněte pravým tlačítkem na uzel Zásada zabezpečení IP a zvolte možnost Správa seznamu filtrů IP a akcí filtru.
Každý filtr definuje podsestavu příchozích nebo odchozích síťových přenosů, na které se aplikuje akce filtru buď tak, že dojde k zabezpečení přenosu (pomocí ověření, integrity dat nebo šifrování dat), nebo k jeho úplnému zablokování, nebo povolení (bez ověření, integrity nebo zašifrování dat). Filtr musí pokrývat všechny přenosy, na které se vztahuje příslušné pravidlo. Filtr obsahuje tato nastavení:
- Adresy zdroje a místa určení paketu IP. Můžete konfigurovat libovolnou IP adresu přiřazenou druhému počítači IPsec, jedinou IP adresu, IP adresy podle názvu DNS, nebo skupiny adres pro určení IP podsítí.
- Protokol použitý k přenosu paketu. To automaticky pokrývá všechny protokoly v sadě protokolů TCP/IP. Avšak tuto konfiguraci lze provést také pro jednotlivý protokol, včetně uživatelského protokolu, který má splnit zvláštní požadavky.
- Zdrojový port a port místa určení protokolu pro TCP a UDP. Standardně jsou pokryty všechny porty TCP a UDP, ale tuto situaci lze změnit tak, aby se toto nastavení vztahovalo pouze na specifický port TCP nebo UDP.
Důležité informace | |
Rozlišení názvu DNS nastane pouze tehdy, pokud je vytvořen seznam filtrů a není později aktualizován. Takže pokud se IP adresa změní, zásada se neaktualizuje. Pro aktualizaci IP adresy musíte upravit zásadu. |
Vytvoření seznamu filtrů pomocí dialogu Vlastnosti nového pravidla |
V dialogu Vlastnosti zásady zabezpečení IP zvolte správné pravidlo zabezpečení IP a klikněte na možnost Upravit nebo vytvořte nové pravidlo kliknutím na tlačítko Přidat.
Na kartě Seznam filtrů IP odstraňte zaškrtnutí políčka Použít průvodce přidávání a vytvořte seznam filtrů v dialogu vlastností. Pokud chcete průvodce použít, nechte toto políčko zaškrtnuté. Klikněte na tlačítko Přidat. Následující pokyny se týkají vytvoření seznamu filtru pomocí dialogu.
Na kartě Adresy dialogu Vlastnosti IP filtru zvolte IP adresu (místního) zdroje a IP adresu místa určení (druhého počítače, se kterým bude probíhat komunikace zabezpečená IPsec).
Na kartě Protokol zvolte typ protokolu, kterému bude filtr odpovídat.
(Nepovinné) Na kartě Popis napište popis filtru. Tento popis může pomoci vybrat filtr a umožňuje rychle určit filtr bez nutnosti otevírat jeho vlastnosti.
Klikněte na tlačítko OK.
Kroky 4 až 8 opakujte pro přidání dalších filtrů do seznamu.
V dialogu Seznam filtrů IP napište popisný název seznamu filtrů. Pro přidání seznamu filtrů do pravidla klikněte na tlačítko OK.
V dialogu Vlastnosti nového pravidla zvolte seznam filtrů.
Vytvoření seznamu filtrů pomocí Správce seznamů filtrů a dialogu akce filtru. |
Klikněte pravým tlačítkem na uzel Zásady zabezpečení IP a zvolte možnost Správa seznamu filtru a akcí filtru.
Na kartě Správa seznamů filtrů IP klikněte na tlačítko Přidat.
Pokud chcete vytvořit seznam filtrů v dialogu vlastností, pak v dialogu Seznam filtrů IP odstraňte zaškrtnutí políčka Použít průvodce přidávání . Pokud chcete průvodce použít, nechte toto políčko zaškrtnuté. Klikněte na tlačítko Přidat. Následující pokyny se týkají vytvoření seznamu filtru pomocí dialogu.
Na kartě Adresy dialogu Vlastnosti IP filtru zvolte IP adresu (místního) zdroje a IP adresu místa určení (druhého počítače, se kterým bude probíhat komunikace zabezpečená IPsec).
Na kartě Protokol zvolte typ protokolu, kterému bude filtr odpovídat.
(Nepovinné) Na kartě Popis napište popis filtru. Tento popis může pomoci vybrat filtr a umožňuje rychle určit filtr bez nutnosti otevírat jeho vlastnosti.
Klikněte na tlačítko OK.
Kroky 4 až 8 opakujte pro přidání dalších filtrů do seznamu.
V dialogu Seznam filtrů IP napište popisný název seznamu filtrů. Pro přidání seznamu filtrů do pravidla klikněte na tlačítko OK.