מדיניות אבטחת פרוטוקול אינטרנט (IPsec) מורכבת מכלל אחד או יותר, הקובע את אופן הפעולה של IPSec. התצורה של כללי IPsec נקבעים בכרטיסיה כללים במאפיינים של מדיניות IPsec. כל כלל IPsec מכיל את פריטי התצורה הבאים:
רשימת מסננים
רשימת מסננים יחידה המכילה מסנן מנות מוגדר מראש אחד או יותר, שמתאר את סוגי התעבורה שעליהם חלה פעולת הסינון שתצורתה נקבעה עבור כלל זה. תצורת רשימת המסננים נקבעת בכרטיסיה רשימת מסנני IP במאפיינים של כלל IPsec במדיניות IPsec. לקבלת מידע נוסף אודות רשימות מסננים, ראה רשימות מסננים.
פעולת סינון
פעולת סינון יחידה הכוללת את סוג הפעולה הדרוש (אפשר, חסום או נהל משא ומתן אודות אבטחה) עבור מנות התואמות לרשימת המסננים. עבור פעולת הסינון 'נהל משא ומתן אודות אבטחה', נתוני המשא ומתן כוללים לפחות שיטת אבטחה אחת שנעשה בה שימוש (לפי סדר עדיפות) במהלך קיום משא ומתן של IKE והגדרות IPsec נוספות. כל שיטת אבטחה קובעת את פרוטוקול האבטחה (כגון AH או ESP), את אלגוריתמי ההצפנה ואת הגדרות היצירה מחדש של מפתחות שבהם נעשה שימוש בהפעלה. תצורת נתוני המשא ומתן נקבעת בכרטיסיה פעולת סינון במאפיינים של כלל IPsec במדיניות IPsec. לקבלת מידע נוסף, ראה פעולות סינון.
שיטות אימות
לפחות שיטת אימות אחת מוגדרת (לפי סדר עדיפות) ומשמשת לאימות עמיתי IPsec במהלך משא ומתן של מצב ראשי. שיטות האימות הזמינות הן פרוטוקול האימות Kerberos גירסה 5, שימוש באישור שהונפק על-ידי רשות אישורים (CA) שצוינה, או מפתח משותף מראש. תצורת נתוני האימות נקבעת בכרטיסיה שיטות אימות במאפיינים של כלל IPsec במדיניות IPsec. לקבלת מידע נוסף, ראה אימות IPsec.
נקודת קצה של מנהרה
לציון אם מתבצע מינהור לתעבורה, ואם כן, לציון כתובת ה- IP של נקודת הקצה של המנהרה. עבור תעבורה יוצאת, נקודת הקצה של המנהרה היא כתובת ה- IP של עמית ה- IPsec במנהרה. עבור תעבורה נכנסת, נקודת הקצה של המנהרה היא כתובת IP מקומית. התצורה של נקודת הקצה של המנהרה נקבעת בכרטיסיה הגדרת מנהרה במאפיינים של כלל IPsec במדיניות IPsec. עליך ליצור שני כללי מנהרות, אחד עבור כל כיוון תעבורה. לקבלת מידע נוסף, ראה הגדרות מנהרה של IPsec.
סוג החיבור
לציון אם הכלל חל על חיבורי רשת תקשורת מקומית (LAN), על חיבורים מרחוק, או על שניהם. תצורת סוג החיבור נקבעת בכרטיסיה סוג חיבור במאפיינים של כלל IPsec במדיניות IPsec. לקבלת מידע נוסף, ראה סוג חיבור IPsec.
כלל התגובה המוגדר כברירת מחדל
כלל התגובה המוגדר כברירת מחדל נועד להבטיח שהמחשב יגיב לבקשות לתקשורת מאובטחת. אם לא הוגדר עבור מדיניות פעילה כלל לבקשת תקשורת מאובטחת, מוחל כלל התגובה המוגדר כברירת מחדל ומתבצע משא ומתן על אבטחה, במקרה שכלל התגובה המוגדר כברירת מחדל זמין. לדוגמה, נעשה שימוש בכלל התגובה המוגדר כברירת מחדל כאשר מחשב א' מקיים תקשורת מאובטחת עם מחשב ב', ובמחשב ב' לא מוגדר מסנן תעבורה נכנסת עבור מחשב א'.
לא ניתן למחוק את כלל התגובה המוגדר כברירת מחדל, שניתן להשתמש בו עבור כל מדיניות, אולם ניתן לבטל את פעולתו. באפשרותך להפוך אותו לזמין בעת יצירה של מדיניות IPsec חדשה עם אשף מדיניות אבטחת IP.
הערה | |
המערכת תתעלם מכלל התגובה המהווה ברירת מחדל במדיניות שתוקצה עבור מחשב שפועל בו Windows Vista® או גירסה מתקדמת יותר של Windows. |
ניתן לקבוע את תצורת שיטות האימות ושיטות האבטחה עבור כלל התגובה המוגדר כברירת מחדל. רשימת המסננים של <דינאמי> מציינת שהתצורת של רשימת המסננים לא נקבעה, אולם המסננים נוצרים באופן אוטומטי על בסיס קבלת מנות משא ומתן של IKE. פעולת הסינון של 'תגובה המשמשת כברירת מחדל' מציינת שלא ניתן לקבוע את התצורה של פעולת המסנן (אפשר, חסום או נהל משא ומתן אודות אבטחה).