Lorsque vous sélectionnez Autoriser la connexion si elle est sécurisée dans une règle de pare-feu, vous spécifiez que les paquets réseau doivent être protégés par la sécurité IPsec (Internet Protocol security), sous peine de ne pas répondre aux critères de la règle. Si vous cliquez sur Personnaliser en regard de cette option, vous pouvez configurer des options qui vous permettent de spécifier le type de protection IPsec requis.
Vous devez sélectionner l’une des trois premières options décrites ci-dessous. La dernière option, Substituer les règles de blocage, peut être sélectionnée indépendamment des autres.
 | Pour accéder à cette boîte de dialogue |
Lors de la création d’une règle de pare-feu à l’aide de l’Assistant Nouvelle règle de pare-feu, dans la page Action, cliquez sur Autoriser la connexion si elle est sécurisée, puis sur Personnaliser.
Lors de la modification d’une règle de pare-feu existante, sous l’onglet Général, sélectionnez Autoriser la connexion si elle est sécurisée, puis cliquez sur Personnaliser.
Autoriser la connexion si elle est authentifiée et que son intégrité est protégée
Il s’agit de l’option par défaut. Cette option vous permet d’exiger que tous les paquets réseau satisfaisant à la règle utilisent à la fois l’authentification IPsec et les algorithmes d’intégrité définis dans une règle de sécurité de connexion distincte. Si un paquet réseau répondant à tous les autres critères n’est ni authentifié ni protégé par un algorithme d’intégrité, il ne satisfait pas à cette règle et il est bloqué.
 | Remarques |
Ce paramètre est pris en charge lorsqu’il est appliqué aux ordinateurs exécutant Windows Vista ou des versions ultérieures de Windows. |
Imposer que la connexion soit chiffrée
Cette option vous permet d’exiger que tous les paquets réseau satisfaisant à la règle utilisent le chiffrement des données tel que défini dans une règle de sécurité de connexion distincte. Si un paquet réseau répondant à tous les autres critères n’est pas chiffré, il ne satisfait pas à cette règle et il est bloqué. Lorsque cette option est activée, le Pare-feu Windows avec sécurité avancée utilise les paramètres de la boîte de dialogue Personnaliser les paramètres de protection des données.
Autoriser les ordinateurs à négocier le chiffrement de manière dynamique
Cette option est disponible uniquement pour les règles de trafic entrant. Vous pouvez l’utiliser pour autoriser la connexion réseau, après succès de l’authentification, à envoyer et recevoir du trafic réseau non chiffré pendant la négociation des algorithmes de chiffrement.
 | Sécurité Remarques |
Durant la négociation du chiffrement, le trafic réseau est envoyé en tant que texte en clair. Ne spécifiez pas cette option si le trafic réseau envoyé sur la connexion durant cette période est trop sensible pour une transmission en clair. |
Autoriser la connexion à utiliser l’encapsulation nulle
Cette option vous permet d’exiger que tous les paquets réseau satisfaisant à la règle utilisent l’authentification IPsec, sans exiger la protection de chiffrement ou d’intégrité. Nous vous conseillons d’utiliser cette option uniquement lorsque vous possédez un équipement réseau ou des logiciels incompatibles avec les protocoles d’intégrité ESP (Encapsulating Security Payload) ou AH (Authentication Header).
| Remarques |
Ce paramètre est pris en charge lorsqu’il est appliqué aux ordinateurs exécutant Windows 7 ou Windows Server 2008 R2. Il ne s’applique pas aux ordinateurs exécutant des versions antérieures de Windows. |
Substituer les règles de blocage
Cette option vous permet d’autoriser les paquets réseau répondant aux critères de cette règle de pare-feu à passer outre toute règle de pare-feu de blocage. Cette option est également qualifiée de contournement authentifié. Normalement, les règles qui bloquent explicitement les connexions sont prioritaires sur celles qui les autorisent. Si vous utilisez cette option, la connexion est autorisée même si une autre règle la bloque. Cela signifie que le trafic réseau répondant aux critères de cette règle est autorisé car il est authentifié comme provenant d’un utilisateur ou ordinateur autorisé et approuvé.
On utilise en général cette règle pour autoriser les programmes de confiance, tels que les logiciels d’analyse de vulnérabilité et autres outils réseau, à s’exécuter sans restriction. Bien qu’il soit courant et préférable qu’une configuration de pare-feu par défaut bloque le trafic réseau en provenance de ces périphériques, vous pouvez créer une règle qui identifie les ordinateurs autorisés. L’option Substituer les règles de blocage autorise uniquement le trafic en provenance de ces ordinateurs autorisés. Si vous n’utilisez pas cette option, toutes les règles de pare-feu de blocage répondant aux mêmes critères de règle de pare-feu sont prioritaires et les connexions sont bloquées.
Si vous sélectionnez cette option, vous devez spécifier au moins un ordinateur ou groupe d’ordinateurs pour l’autorisation dans la page Ordinateurs de l’Assistant Nouvelle règle de pare-feu ou sous l’onglet Ordinateurs de la boîte de dialogue Propriétés de Règle de pare-feu.
| Remarques |
Si vous configurez l’état opérationnel du pare-feu sur Bloquer toutes les connexions dans la boîte de dialogue Propriétés du Pare-feu Windows avec sécurité avancée, tout le trafic réseau est bloqué, même si cette option est activée. |