IP-suojaus eli IPsec on joukko avoimia standardeja, jotka varmistavat yksityisen suojatun tietoliikenteen IP-verkon kautta käyttämällä salauspalveluja. Microsoft Windowsin IPsec-toteutus perustuu IETF:n (Internet Engineering Task Force) IPsec-työryhmän kehittämiin standardeihin.
IPsec suojaa luotettavalla tavalla tietoliikenteen IP-lähdeosoitteen ja IP-kohdeosoitteen välillä. Vain lähettävällä ja vastaanottavalla tietokoneella täytyy olla tieto suojatusta tietoliikenteestä. Kukin tietokone huolehtii suojauksesta omassa päässään lähtien siitä oletuksesta, että tietoliikenteen kulkureitti ei ole turvallinen. Tietokoneiden, jotka vain reitittävät tietoja lähteestä kohteeseen, ei tarvitse tukea IPseciä, ellei tietokoneiden välillä käytetä palomuurityyppistä pakettisuodatusta tai verkko-osoitteen tulkintaa (NAT).
IP-suojauskäytäntölaajennuksen avulla voit luoda, muokata ja määrittää IPsec-käytäntöjä tässä tietokoneessa ja etätietokoneissa.
 | Huomautus |
Näiden ohjeiden tarkoituksena on antaa tarvittavat tiedot IP-suojauskäytäntölaajennuksen toimintaperiaatteista ja käytöstä. Näissä ohjeissa ei käsitellä käytäntöjen suunnittelua ja käyttöönottoa. |
Tietoja IPsec-käytännöistä
IPsec-käytäntöjen avulla määritetään IPsec-suojauspalvelut. Käytännöt mahdollistavat eritasoisia suojauksia useimmille tietoliikennelajeille useimmissa verkoissa. Voit määrittää IPsec-käytännöt niin, että ne täyttävät tietokoneen, organisaatioyksikön, toimialueen, toimipaikan tai koko yrityksen suojausvaatimukset. Voit määrittää tämän Windows-version IP-suojauskäytäntölaajennuksella IPsec-käytännöt tietokoneille ryhmäkäytäntöobjektien avulla (toimialueen jäsenet). IPsec-käytännöt voi myös määrittää vain paikalliselle tietokoneelle tai etätietokoneille.
 | Tärkeää |
IP-suojauskäytäntölaajennuksen avulla voit luoda IPsec-käytäntöjä tietokoneille, joissa on Windows Vista tai uudempi Windows-versio, mutta tämä laajennus ei käytä uusia suojausalgoritmeja eikä Windows Vista-käyttöjärjestelmän tai uudempien versioiden muita uusia ominaisuuksia. Jos haluat luoda IP-käytäntöjä näitä tietokoneita varten, käytä Windowsin laajennettu palomuuri -laajennusta. Windowsin laajennettu palomuuri -laajennus ei luo käytäntöjä, joita voidaan käyttää Windowsin aiemmissa versioissa. |
IPsec-käytäntö koostuu yleisistä IPsec-käytäntöasetuksista ja säännöistä. Yleisiä IPsec-käytäntöasetuksia käytetään määritetyistä säännöistä huolimatta. Nämä asetukset määrittävät käytännön nimen, sen kuvauksen hallintatoimia varten sekä avaintenvaihdon asetukset ja menetelmät. IPsec-säännöt määrittävät esimerkiksi, mitkä tietoliikennelajit IPsecin on tutkittava, miten tietoliikennettä käsitellään ja miten IPsec-vertaiskone todennetaan.
Kun käytännöt on luotu, niitä voidaan käyttää toimialue-, saitti- ja organisaatioyksikkötasolla sekä paikallisella tasolla. Tietokoneessa voi olla käytössä vain yksi käytäntö kerrallaan. Ryhmäkäytäntöobjektien avulla jaetut ja käytetyt käytännöt korvaavat paikalliset käytännöt.
IP-suojauskäytäntölaajennuksen tehtävät
Tässä osassa käsitellään IP-suojauskäytäntölaajennuksen yleisimpiä tehtäviä.
Käytännön luominen
Ellet luo käytäntöjä vain yhdelle tietokoneelle ja sen IPsec-vertaiskoneelle, joudut luultavasti luomaan joukon IPsec-käytäntöjä, jotka sopivat järjestelmäympäristöösi. Käytäntöjen suunnittelu, luominen ja käyttöönotto voi olla monimutkaista toimialueen koon, toimialueen tietokoneiden erilaisuuden ja muiden tekijöiden mukaan.
Prosessissa on yleensä seuraavat vaiheet:
- Luo IP-suodatinluettelot, jotka vastaavat ympäristösi olosuhteita, aliverkkoja ja tietokoneita.
- Luo suodatustoiminnot sen mukaan, miten haluat, että yhteydet todennetaan, tietojen aitous tarkistetaan ja tiedot salataan. Suodatustoiminto voi olla Estä tai Salli olivatpa muut ehdot mitkä tahansa. Estä-toiminto on ensisijainen muihin toimintoihin nähden.
- Luo joukko käytäntöjä, jotka täyttävät tarvittavat suodatuksen ja suodatustoiminnon (suojauksen) vaatimukset.
- Ota ensin käyttöön käytännöt, jotka käyttävät Salli- ja Estä-suodatustoimintoja, ja seuraa, onko IPsec-ympäristössä ongelmia, joiden vuoksi näitä käytäntöjä tulisi muuttaa.
- Ota käyttöön Neuvottele suojausasetuksista -suodatustoimintoa käyttävät käytännöt, joissa on mahdollisuus palauttaa tietoliikenne suojaamattomaksi. Näin voit testata IP-suojauksen toimintaa ympäristössäsi häiritsemättä tietoliikennettä.
- Kun olet tehnyt käytäntöihin tarvittavat muutokset, poista salaamattomaan tietoliikenteeseen paluutoiminto haluamistasi kohteista. Tällöin käytännöt vaativat todennusta ja suojausta, ennen kuin yhteys voidaan luoda.
- Seuraa, onko ympäristössä toimimatonta tietoliikennettä, joka voi näkyä tilastotiedoissa päätilan neuvottelujen epäonnistumisten nopeana kasvuna.
 | Uuden IPsec-käytännön luominen |
Napsauta IP-suojauskäytännöt-solmua hiiren kakkospainikkeella ja valitse Luo IP-suojauskäytäntö.
Valitse ohjatussa IP-suojauskäytännön määrittämisessä Seuraava.
Kirjoita käytännön nimi ja kuvaus (valinnainen). Valitse Seuraava.
Valitse Ota käyttöön oletusvastaussääntö -valintaruutu tai jätä se tyhjäksi. Valitse Seuraava.
Huomautus Oletusvastaussääntöä voidaan käyttää vain käytännöissä, joita käytetään Windows XP:ssä ja Windows Server 2003:ssa ja sitä aiemmissa versioissa. Tätä uudemmat Windows-versiot eivät voi käyttää oletusvastaussääntöjä.
Jos käytät oletusvastaussääntöä, valitse todentamismenetelmä. Valitse Seuraava.
Lisätietoja oletusvastaussäännöstä on ohjeaiheessa IP-suojauksen säännöt.
Valitse Muokkaa ominaisuuksia -valintaruutu ja valitse Seuraava. Voit lisätä käytäntöön sääntöjä tarpeen mukaan.
Käytäntösäännön lisääminen ja muuttaminen
| Käytäntösäännön lisääminen |
Napsauta IPsec-käytäntöä hiiren kakkospainikkeella ja valitse Ominaisuudet.
Jos haluat luoda säännön Ominaisuus-valintaikkunassa, poista Ohjattu lisääminen -valintaruudun valinta. Jos haluat käyttää ohjattua lisäämistä, jätä valintamerkki valintaruutuun. Valitse Lisää. Seuraavat ohjeet koskevat säännön luomista valintaikkunan avulla.
Valitse Ominaisuudet: Uusi sääntö -valintaikkunan IP-suodatinluettelo-välilehdestä haluamasi suodatinluettelo tai lisää uusi suodatinluettelo valitsemalla Lisää. Jos olet jo luonut suodatinluetteloita, ne näkyvät IP-suodatinluetteloiden luettelossa. Lisätietoja suodatinluetteloiden luomisesta ja käyttämisestä on ohjeaiheessa Suodatinluettelot.
Huomautus Kussakin säännössä voidaan käyttää vain yhtä suodatinluetteloa.
Valitse Suodatustoiminto-välilehdestä haluamasi suodatustoiminto tai lisää uusi suodatustoiminto valitsemalla Lisää. Lisätietoja suodatustoimintojen luomisesta ja käyttämisestä on ohjeaiheessa Suodatustoiminnot.
Huomautus Kussakin säännössä voidaan käyttää vain yhtä suodatustoimintoa.
Valitse Todentamismenetelmät-välilehdestä haluamasi menetelmä tai lisää uusi menetelmä valitsemalla Lisää. Lisätietoja todentamismenetelmien luomisesta ja käyttämisestä on ohjeaiheessa IP-suojauksen todentaminen.
Huomautus Kussakin säännössä voidaan käyttää useita menetelmiä. Menetelmiä käytetään siinä järjestyksessä, jossa ne ovat luettelossa. Jos määrität, että varmenteita käytetään, aseta ne luetteloon käyttöjärjestykseen.
Valitse Yhteyslaji-välilehdestä yhteyslaji, jossa sääntöä käytetään. Lisätietoja yhteyslajeista on ohjeaiheessa IP-suojauksen yhteyslaji.
Jos käytät tunnelia, määritä päätepisteet Tunneliasetukset-välilehdessä. Oletusarvon mukaan tunnelia ei käytetä. Lisätietoja tunneleiden käyttämisestä on ohjeaiheessa IP-suojauksen tunneliasetukset. Tunnelisääntöjä ei voi peilata.
Kun asetukset on tehty, valitse OK.
| Käytäntösäännön muuttaminen |
Napsauta IPsec-käytäntöä hiiren kakkospainikkeella ja valitse Ominaisuudet.
Valitse Ominaisuudet: Käytäntö -valintaikkunasta sääntö ja valitse Muokkaa.
Valitse Muokkaa säännön ominaisuuksia -valintaikkunan IP-suodatinluettelo-välilehdestä haluamasi suodatinluettelo tai lisää uusi suodatinluettelo valitsemalla Lisää. Lisätietoja suodatinluetteloiden luomisesta ja käyttämisestä on ohjeaiheessa Suodatinluettelot.
Huomautus Kussakin säännössä voidaan käyttää vain yhtä suodatinluetteloa.
Valitse Suodatustoiminto-välilehdestä haluamasi suodatustoiminto tai lisää uusi suodatintoiminto valitsemalla Lisää. Lisätietoja suodatustoimintojen luomisesta ja käyttämisestä on ohjeaiheessa Suodatustoiminnot.
Huomautus Kussakin säännössä voidaan käyttää vain yhtä suodatustoimintoa.
Valitse Todentamismenetelmät-välilehdestä haluamasi menetelmä tai lisää uusi menetelmä valitsemalla Lisää. Lisätietoja todentamismenetelmien luomisesta ja käyttämisestä on ohjeaiheessa IP-suojauksen todentaminen.
Huomautus Kussakin säännössä voidaan käyttää useita menetelmiä. Menetelmiä käytetään siinä järjestyksessä, jossa ne ovat luettelossa.
Valitse Yhteyslaji-välilehdestä yhteyslaji, jossa sääntöä käytetään. Lisätietoja yhteyslajeista on ohjeaiheessa IP-suojauksen yhteyslaji.
Jos käytät tunnelia, määritä päätepisteet Tunneliasetukset-välilehdessä. Oletusarvon mukaan tunnelia ei käytetä. Lisätietoja tunneleiden käyttämisestä on ohjeaiheessa IP-suojauksen tunneliasetukset.
Kun olet määrittänyt kaikki asetukset, valitse OK.
Käytännön määrittäminen
| Käytännön määrittäminen tälle tietokoneelle |
Napsauta käytäntöä hiiren kakkospainikkeella ja valitse Lisää.
Huomautuksia - Tietokoneelle voidaan määrittää vain yksi käytäntö kerrallaan. Jos toinen käytäntö määritetään, määritettynä olevan käytännön määritys peruuntuu automaattisesti. Toimialueen ryhmäkäytäntö voi määrittää tälle tietokoneelle toisen käytännön ja ohittaa paikallisen käytännön.
- Jotta tietokoneiden välinen IP-suojauskäytäntö onnistuisi, toisessa tietokoneessa on luotava peilattu käytäntö, joka on määritettävä kyseiselle tietokoneelle.
- Voit määrittää tämän käytännön useille tietokoneille ryhmäkäytännön avulla.