Zásada IPsec je tvořena jedním nebo více pravidly, která určují chování IPsec. Pravidla IPsec jsou konfigurována na kartě Pravidla v dialogu vlastností zásady IPsec. Každé pravidlo IPsec obsahuje následující položky konfigurace:
Seznam filtrů
Jeden seznam filtrů, který obsahuje jeden nebo více předem daných filtrů paketů, které popisují typy přenosu, na které je použita akce filtru nakonfigurovaná pro toto pravidlo. Seznam filtrů je nakonfigurován na kartě Seznam filtrů IP ve vlastnostech pravidla IPsec v rámci zásady IPsec. Další informace o seznamech filtrů viz Seznamy fitrů.
Akce filtru
Jedna akce filtru, která zahrnuje typ požadované akce (Povolení, Blokování nebo Vyjednání zabezpečení) pro pakety, které jsou uvedeny v seznamu filtru. Pro akci filtru Vyjednání zabezpečení obsahují data vyjednávání jednu nebo více metod zabezpečení, které jsou použity (v uvedeném pořadí) během vyjednávání IKE a dalších nastavení IPsec. Každá metoda zabezpečení určuje protokoly zabezpečení (jako například AH nebo ESP), kryptografické algoritmy a použitá nastavení opakovaného generování klíčů relace. Data vyjednávání jsou konfigurována na kartě Akce filtru ve vlastnostech pravidla IPsec v rámci zásady IPsec. Další informace viz Akce filtru.
Metody ověření
Během vyjednávání hlavního režimu jsou konfigurovány jedna nebo více metod ověření (v uvedeném pořadí) a použita pro ověření partnerských počítačů pro přenosy zabezpečené IPsec. Dostupné metody ověření jsou ověřovací protokol Kerberos V5, použití certifikátu vydaného určenou certifikační autoritou nebo předem sdílený klíč. Data ověření jsou konfigurována na kartě Metody ověření ve vlastnostech pravidla IPsec v rámci zásady IPsec. Další informace viz Ověření IPsec.
Koncový bod tunelu
Určuje, zda bude přenos probíhat tunelem, a pokud bude, pak IP adresu koncového bodu tunelu. Pro odchozí přenosy je koncovým bodem tunelu IP adresa druhého počítače tunelu IPsec. Pro příchozí přenosy je koncovým bodem tunelu místní IP adresa. Koncový bod tunelu je konfigurován na kartě Nastavení tunelu ve vlastnostech pravidla IPsec v rámci zásady IPsec. Musíte vytvořit dvě pravidla tunelu pro oba směry komunikace, která bude tunelem procházet. Další informace viz Nastavení tunelu IPsec.
Typ připojení
Určuje, zda se pravidlo vztahuje na místní síť (LAN), vzdálená připojení, nebo na oboje. Typ připojení se konfiguruje na kartě Typ připojení ve vlastnostech pravidla IPsec v rámci zásady IPsec. Další informace viz Typ připojení IPsec.
Pravidlo předvolby reakce
Toto pravidlo se používá pro zajištění, aby počítač reagoval na požadavky zajištění komunikace. Pokud aktivní zásada nemá definováno pravidlo, které by vyžadovalo zabezpečenou komunikaci, pak je aplikováno toto pravidlo předvolby reakce a vyjedná se zabezpečení, jakmile je toto pravidlo aktivováno. Toto pravidlo předvolby reakce se například používá, pokud počítač A komunikuje zabezpečené přenosy počítači B a počítač B nemá filtr pro příchozí přenosy, jaký je definován pro počítač A.
Pravidlo předvolby reakce, které lze použít pro všechny zásady, nelze odstranit, ale lze ho deaktivovat. Toto pravidlo máte možnost aktivovat, když vytvoříte nové zásady IPsec pomocí Průvodce zásadami zabezpečení IP.
Poznámka | |
Výchozí pravidlo odpovídání bude ignorováno zásadou, která bude přiřazena počítači používajícímu systém Windows Vista® nebo pozdější verzi systému Windows. |
Metody ověření a metody zabezpečení lze pro tuto předvolbu nakonfigurovat. Seznam filtrů <Dynamický> určuje, že není nakonfigurován seznam filtrů, ale že se filtry vytvářejí automaticky na základě příjmu vyjednávacích paketů IKE. Akce filtru Předvolba reakce určuje, že akce filtru (Povolit, Blokovat nebo Vyjednávat zabezpečení) nelze konfigurovat.