IP-suojauskäytäntö eli IPsec-käytäntö sisältää vähintään yhden säännön, joka määrittää IP-suojauksen toimintaa. IP-suojauksen säännöt määritetään IPsec-käytännön ominaisuuksien Säännöt-välilehdessä. Kukin IP-suojauksen sääntö sisältää seuraavat määritettävät tiedot:

Suodatinluettelo

Suodatinluettelo sisältää vähintään yhden valmiiksi määritetyn pakettisuodattimen. Pakettisuodattimet kuvaavat sellaisia tietoliikennelajeja, joihin säännölle määritettyä suodatustoimintoa käytetään. Suodatinluettelo määritetään IPsec-käytännössä IPsec-säännön ominaisuuksien IP-suodatinluettelo-välilehdessä. Lisätietoja suodatinluetteloista on ohjeaiheessa Suodatinluettelot.

Suodatustoiminto

Suodatustoiminto sisältää tarvittavan toiminnon (Salli, Estä, Neuvottele suojausasetuksista) suodatinluetteloa vastaaville paketeille. Neuvottele suojausasetuksista -suodatustoiminnon neuvottelutiedot sisältävät vähintään yhden IKE-neuvotteluissa käytettävän suojausmenetelmän (tärkeysjärjestyksessä) ja muita IPsec-asetuksia. Kukin suojausmenetelmä määrittää käytettävän suojausprotokollan (kuten AH tai ESP), salausalgoritmit ja istuntoavaimen uudelleenmuodostuksen asetukset. Neuvottelutiedot määritetään IPsec-käytännössä IPsec-säännön ominaisuuksien Suodatustoiminto-välilehdessä. Lisätietoja on ohjeaiheessa Suodatustoiminnot.

Todentamismenetelmät

IPsec-vertaiskoneiden todennuksessa käytetään vähintään yhtä todentamismenetelmää päätilan neuvottelujen aikana. Käytettävät todentamismenetelmät ovat Kerberos V5 -protokolla, varmenteen myöntäjän myöntämä varmenne tai jaettu avain. Todentamistiedot määritetään IPsec-käytännössä IPsec-säännön ominaisuuksien Todentamismenetelmät-välilehdessä. Lisätietoja on ohjeaiheessa IP-suojauksen todentaminen.

Tunnelin päätepiste

Määrittää, onko tietoliikenne tunneloitu. Jos tietoliikenne on tunneloitu, se määrittää tunnelin päätepisteen IP-osoitteen. Lähtevän tietoliikenteen tunnelin päätepiste on IPsec-vertaistunnelin IP-osoite. Saapuvalle tietoliikenteelle tunnelin päätepiste on paikallinen IP-osoite. Tunnelin päätepiste määritetään IPsec-käytännössä IPsec-säännön ominaisuuksien Tunneliasetus-välilehdessä. Kaksi tunnelia on luotava: yksi tietoliikenteen molemmille suunnille. Lisätietoja on ohjeaiheessa IP-suojauksen tunneliasetukset.

Yhteyslaji

Määrittää, koskeeko sääntö lähiverkkoyhteyksiä (LAN), etäyhteyksiä vai molempia. Yhteyslaji määritetään IPsec-käytännössä IPsec-säännön ominaisuuksien Yhteyslaji-välilehdessä. Lisätietoja on ohjeaiheessa IP-suojauksen yhteyslaji.

Oletusvastaussääntö

Oletusvastaussäännön avulla varmistetaan, että tietokone vastaa suojatun tietoliikenteen pyyntöihin. Jos aktiiviseen käytäntöön ei ole määritetty sääntöä suojattua tietoliikennettä varten, käytetään oletusvastaussääntöä ja suojaus neuvotellaan (sillä edellytyksellä, että oletusvastaussääntö on käytössä). Kun esimerkiksi tietokone A vaihtaa tietoja suojatusti tietokoneen B kanssa ja tietokoneessa B ei ole määritetty saapuvan tietoliikenteen suodatinta tietokoneelle A, käytetään oletusvastaussääntöä.

Oletusvastaussääntöä, jota voidaan käyttää kaikille käytännöille, ei voida poistaa järjestelmästä, mutta se voidaan poistaa käytöstä. Voit ottaa sen käyttöön, kun luot uusia IPsec-käytäntöjä ohjatun IP-suojauskäytännön määrittämisen avulla.

Huomautus

Oletusvastaussääntö ohitetaan käytännössä, joka määritetään Windows Vista® -tietokoneelle.

Oletusvastaussäännölle voidaan määrittää todentamis- ja suojausmenetelmät. <Dynaaminen>-suodatinluettelo ilmaisee, että suodatinluetteloa ei ole määritetty vaan että suodattimet luodaan automaattisesti IKE-neuvottelupaketteja vastaanotettaessa. Jos suodatustoiminto on Oletusvastaus, suodatustoimintoa (Salli, Estä tai Neuvottele suojausasetuksista) ei voida määrittää.