מצב המנהרה של IPsec משמש בעיקר עבור יכולת פעולה הדדית של נתבים, שערים או מערכות קצה שאינם תומכים ב- Layer Two Tunneling Protocol (L2TP)/אבטחת פרוטוקול אינטרנט (IPsec) או במינהור VPN של Point-to-Point Tunneling Protocol (PPTP). קיימת תמיכה במצב מנהרה של IPsec רק בתרחישי מינהור של שער לשער ועבור תצורות מסוימות של שרת לשרת או שרת לשער. לא קיימת תמיכה במצב מנהרה של IPsec עבור תרחישי VPN של גישה מרחוק. עבור חיבורי VPN של גישה מרחוק יש להשתמש ב- L2TP/IPsec או ב- PPTP.
על מנהרת IPsec להיות מוגדרת בשני קצוות החיבור. בכל קצה, יש להחליף את הערכים עבור מחשב המנהרה המקומי ומחשב המנהרה המרוחק (מכיוון שהמחשב המקומי בקצה אחד של המנהרה הוא המחשב המרוחק בקצה האחר, ולהיפך).
השתמש ב- חומת האש של Windows עם רכיבי אבטחה מתקדמים כדי לבצע מינהור מסוג Layer 3 עבור תרחישים שבהם לא ניתן להשתמש ב- L2TP. אם אתה משתמש ב- L2TP עבור תקשורת מרוחקת, לא נדרשת קביעת תצורה של מנהרת IPsec מכיוון שרכיבי ה- VPN של הלקוח והשרת בגירסה זו של Windows יוצרים באופן אוטומטי את הכללים הנחוצים לאבטחת תעבורת L2TP.
השתמש בעמוד אשף זה כדי לקבוע את התצורה של סוג מנהרת ה- IPsec שברצונך ליצור. מנהרת IPsec משמשת בדרך כלל כדי לחבר רשת פרטית הנמצאת מאחורי שער ללקוח מרוחק או לשער מרוחק עם רשת פרטית נוספת. מצב מנהרת IPsec מגן על מנת נתונים על-ידי כמיסת מנת הנתונים במלואה בתוך מנה המוגנת באמצעות IPsec ולאחר מכן ניתוב המנה המוגנת באמצעות IPsec בין נקודות הקצה של המנהרה. כאשר היא מגיעה לנקודת הקצה המיועדת, מנת הנתונים מחולצת ולאחר מכן מנותבת ליעדה הסופי.
כדי להגיע לעמוד אשף זה |
ביישום ה- Snap-in מסוג MMC של חומת האש של Windows עם רכיבי אבטחה מתקדמים, לחץ באמצעות לחצן העכבר הימני על כללי אבטחת חיבור ולאחר מכן לחץ על כלל חדש.
בעמוד סוג כלל, בחר במנהרה.
בשלבים, בחר בסוג מנהרה.
תצורה מותאמת אישית
בחר אפשרות זו כדי להפוך את כל האפשרויות של תצורת נקודות הקצה בעמוד נקודות קצה של מנהרות – תצורה מותאמת אישית לזמינות. באפשרותך לציין את כתובות ה- IP של המחשבים המשמשים כנקודות הקצה של המנהרות ושל המחשבים הממוקמים ברשתות פרטיות מאחורי כל נקודת קצה של מנהרה. לקבלת מידע נוסף, ראה אשף כלל אבטחת החיבור: עמוד נקודות קצה של מנהרה - קביעת תצורה מותאמת אישית.
לקוח לשער
בחר אפשרות זו אם ברצונך ליצור כלל עבור מחשב לקוח שעליו להתחבר לשער מרוחק ולמחשבים הנמצאים מאחורי השער ברשת פרטית.
כאשר הלקוח שולח מנת רשת למחשב ברשת פרטית מרוחקת, IPsec מטביע את מנת הנתונים בתוך מנת IPsec הממוענת לכתובת השער המרוחק. השער מחלץ את המנה ולאחר מכן מנתב אותה ברשת הפרטית למחשב היעד.
אם תבחר אפשרות זו, ניתן יהיה לקבוע את התצורה של כתובת ה- IP הציבורית של מחשב השער ושל כתובות ה- IP של המחשבים ברשת הפרטית בלבד. לקבלת מידע נוסף, ראה אשף כלל אבטחת החיבור: עמוד נקודות קצה של מנהרה - לקוח לשער.
שער ללקוח
בחר אפשרות זו אם ברצונך ליצור כלל עבור מחשב שער המצורף הן לרשת פרטית והן לרשת ציבורית שמהן הוא מקבל תעבורת רשת מלקוחות מרוחקים.
כאשר הלקוח שולח מנת רשת למחשב ברשת הפרטית, IPsec מטביע את מנת הנתונים בתוך מנת IPsec הממוענת לכתובת ה- IP הציבורית של מחשב שער זה. כאשר מחשב השער מקבל את המנה, הוא מחלץ את המנה ולאחר מכן מנתב אותה ברשת הפרטית למחשב היעד.
כאשר על מחשב ברשת פרטית מרוחקת להשיב למחשב לקוח, מנת הנתונים מנותבת למחשב השער. מחשב השער מטביע את מנת הנתונים בתוך מנת IPsec הממוענת למחשב הלקוח המרוחק ולאחר מכן מנתב את מנת ה- IPsec ברשת הציבורית למחשב הלקוח המרוחק.
אם תבחר אפשרות זו, ניתן יהיה לקבוע את התצורה של כתובות של מחשבים ברשת הפרטית ושל כתובת ה- IP הציבורית של מחשב השער בלבד. לקבלת מידע נוסף, ראה אשף כלל אבטחת החיבור: עמוד נקודות קצה של מנהרה - שער ללקוח.
חיבורים פטורים המוגנים באמצעות IPsec
לעיתים מנת רשת עשויה להתאים ליותר מכלל אבטחת חיבור אחד. אם אחד הכללים יוצר מנהרת IPsec, באפשרותך לבחור אם להשתמש במנהרה או לשלוח את המנה אל מחוץ למנהרה המוגנת באמצעות הכלל השני.
כן
בחר אפשרות זו אם החיבור כבר מוגן באמצעות כלל אבטחת חיבור אחר ואין ברצונך שמנת הרשת תעבור דרך מנהרת ה- IPsec. נמנע המעבר במנהרה של כל תעבורת הרשת המוגנת באמצעות הפרוטוקול 'מנת תוכן אבטחה כומסת' (ESP), לרבות ESP Null.
לא
בחר אפשרות זו אם ברצונך שכל מנות הרשת המתאימות לכלל המנהרה יעברו דרך המנהרה גם כאשר הן מוגנות באמצעות כלל אבטחת חיבור אחר.