IPSec-Richtlinien (Internet Protocol Security, Internetprotokollsicherheit) enthalten eine oder mehrere Regeln, die das IPSec-Verhalten bestimmen. IPSec-Regeln werden in den Eigenschaften einer IPSec-Richtlinie auf der Registerkarte Regeln konfiguriert. Jede IPSec-Regel enthält die folgenden Konfigurationselemente:

Filterliste

Eine einzelne Filterliste, die einen oder mehrere vordefinierte Paketfilter enthält, mit denen der Typ des Datenverkehrs beschrieben wird, auf den die konfigurierte Filteraktion für die jeweilige Regel angewendet wird. Die Filterliste wird innerhalb einer IPSec-Richtlinie in den Eigenschaften einer IPSec-Regel auf der Registerkarte IP-Filterliste konfiguriert. Weitere Informationen zu Filterlisten finden Sie unter Filterlisten.

Filteraktion

Eine einzelne Filteraktion, die den erforderlichen Aktionstyp (Zulassen, Blockieren, Sicherheit aushandeln) für Pakete enthält, die der Filterliste entsprechen. Die Aushandlungsdaten für die Filteraktion Sicherheit aushandeln enthalten eine oder mehrere Sicherheitsmethoden (ihrer Rangfolge entsprechend angeordnet), die während der IKE-Aushandlungen verwendet werden, sowie weitere IPSec-Einstellungen. Jede Sicherheitsmethode bestimmt das zu verwendende Sicherheitsprotokoll (wie AH oder ESP), die Verschlüsselungsalgorithmen sowie die Einstellungen für die Neugenerierung von Sitzungsschlüsseln. Die Aushandlungsdaten werden innerhalb einer IPSec-Richtlinie in den Eigenschaften einer IPSec-Regel auf der Registerkarte Filteraktion konfiguriert. Weitere Informationen finden Sie unter Filteraktionen.

Authentifizierungsmethoden

Eine oder mehrere Authentifizierungsmethoden können (in der Reihenfolge der Priorität) konfiguriert und in den Hauptmodusaushandlungen zur Authentifizierung von IPsec-Peers verwendet werden. Zu den verfügbaren Authentifizierungsmethoden gehören das Kerberos V5-Authentifizierungsprotokoll, die Verwendung eines Zertifikats, das von einer angegebenen Zertifizierungsstelle ausgestellt wurde, oder ein vorinstallierter Schlüssel. Die Authentifizierungsdaten werden innerhalb einer IPSec-Richtlinie in den Eigenschaften einer IPSec-Regel auf der Registerkarte Authentifizierungsmethoden konfiguriert. Weitere Informationen finden Sie unter IPSec-Authentifizierung.

Tunnelendpunkt

Gibt an, ob der Datenverkehr durch einen Tunnel geleitet wird, und wenn dies der Fall ist, die IP-Adresse des Tunnelendpunkts. Für den ausgehenden Datenverkehr ist der Tunnelendpunkt die IP-Adresse des IPSec-Tunnelpeers. Für den eingehenden Datenverkehr ist der Tunnelendpunkt eine lokale IP-Adresse. Der Tunnelendpunkt wird innerhalb einer IPSec-Richtlinie in den Eigenschaften einer IPSec-Regel auf der Registerkarte Tunneleinstellungen konfiguriert. Sie müssen zwei Tunnelregeln erstellen, für jede Richtung des Datenverkehrs eine. Weitere Informationen finden Sie unter IPSec-Tunneleinstellungen.

Verbindungstyp

Gibt an, ob die Regel für LAN-Verbindungen (Lokal Area Network, Lokales Netzwerk), RAS-Verbindungen oder beides gültig ist. Der Verbindungstyp wird innerhalb einer IPSec-Richtlinie in den Eigenschaften einer IPSec-Regel auf der Registerkarte Verbindungstyp konfiguriert. Weitere Informationen finden Sie unter IPSec-Verbindungstyp.

Standardantwortregel

Mit der Standardantwortregel wird sichergestellt, dass der Computer auf Anforderungen für sichere Kommunikation antwortet. Wenn eine aktive Richtlinie keine Regel enthält, die sichere Kommunikation anfordert, wird die Standardantwortregel angewendet und die Sicherheit ausgehandelt, sofern die Standardantwortregel aktiviert ist. Wenn z. B. die Kommunikation zwischen Computer A und Computer B sicher ist, und auf Computer B ist kein eingehender Filter für Computer A definiert, wird die Standardantwortregel angewendet.

Die Standardantwortregel, die für alle Richtlinien verwendet werden kann, kann nicht gelöscht, aber deaktiviert werden. Sie erhalten die Option zur Aktivierung, wenn Sie neue IPSec-Richtlinien mit dem IP-Sicherheitsrichtlinien-Assistenten erstellen.

Hinweis

Die Standardantwortregel wird in einer Richtlinie ignoriert, die einem Computer unter Windows Vista® oder einer neueren Version von Windows zugewiesen wird.

Für die Standardantwortregel können Authentifizierungsmethoden und Sicherheitsmethoden konfiguriert werden. Mit der dynamischen Filterliste wird angegeben, dass der Filter nicht konfiguriert ist, Filter jedoch auf der Basis des Empfangs von IKE-Verhandlungspaketen automatisch erstellt werden. Die Filteraktion Standardantwort gibt an, dass die Aktion des Filters (Zulassen, Blockieren, Sicherheit aushandeln) nicht konfiguriert werden kann.