Amikor egy tűzfalszabályban a Csak akkor engedélyezze a kapcsolatot, ha biztonságos lehetőséget választja, a hálózati csomagokat az IPsec-nek kell védenie, vagy azok nem felelnek meg a szabálynak. Ha a beállítás mellett található Testreszabás lehetőségre kattint, konfigurálhatja a szükséges IPsec-védelem típusára vonatkozó beállításokat.

Az alább ismertetettek közül az első három lehetőség valamelyikét kell kijelölnie. Az utolsó lehetőség (Blokkolási szabályok felülírása) a többi lehetőségtől függetlenül kijelölhető.

A párbeszédpanel elérése
  • Az új tűzfalszabályok Új tűzfalszabály varázslóval történő létrehozása során a Művelet lapon kattintson a Csak akkor engedélyezze a kapcsolatot, ha biztonságos lehetőségre, majd kattintson a Testreszabás gombra.

  • Meglévő tűzfalszabály módosítása során az Általános lapon jelölje ki a Csak akkor engedélyezze a kapcsolatot, ha biztonságos lehetőséget, majd kattintson a Testreszabás gombra.

Kapcsolat engedélyezése, ha az hitelesített és sértetlenségvédelemmel ellátott

Ez az alapértelmezett beállítás. A beállítás kijelölésével minden egyező hálózati csomagnak IPsec-hitelesítést és az adatok sértetlenségét biztosító algoritmusokat kell alkalmaznia (egy különálló kapcsolatbiztonsági szabályban definiált módon). Ha egy minden más feltételnek megfelelő hálózati csomag nem hitelesített, és nem védi az adatok sértetlenségét biztosító algoritmus, nem felel meg a szabálynak, és blokkolva lesz.

Megjegyzés

Ez a beállítás a Windows Vista rendszert vagy a Windows későbbi verzióit futtató számítógépekre való alkalmazásakor támogatott.

A kapcsolatok titkosításának megkövetelése

A beállítás kijelölésével minden megfelelő hálózati csomagnak egy különálló kapcsolatbiztonsági szabályban definiált módon adattitkosítást kell használnia. Ha egy minden más feltételnek megfelelő hálózati csomag nincs titkosítva, nem felel meg a szabálynak, és blokkolva lesz. A beállítás kijelölésével a Fokozott biztonságú Windows tűzfal az Egyéni adatvédelmi beállítások párbeszédpanelen megadott beállításokat használja.

Titkosítás dinamikus egyeztetésének engedélyezése a számítógépek számára

Ez a beállítás kizárólag a bejövő szabályok esetében elérhető. Ezzel a beállítással engedélyezheti, hogy a hálózati kapcsolat a sikeres hitelesítést követően titkosítatlan hálózati forgalmat küldjön és fogadjon a titkosítási algoritmus egyeztetése során.

Biztonsági Megjegyzés

A titkosítás egyeztetése során a hálózati forgalom nyílt szövegben kerül továbbításra. Ne engedélyezze ezt a lehetőséget, ha a kapcsolaton ez idő alatt küldött hálózati forgalom a nyílt szövegben való elküldéshez túl érzékeny adatokat tartalmaz.

NULL-beágyazás használatának engedélyezése a kapcsolat számára

Ezzel a lehetőséggel megkövetelheti, hogy minden egyező hálózati csomag IPsec-hitelesítést használjon, de ne követeljen meg az adatok sértetlenségét biztosító vagy titkosítást alkalmazó védelmet. Javasoljuk, hogy csak akkor használja ezt a lehetőséget, ha az Encapsulating Security Payload (ESP) vagy az Authentication Header (AH) sértetlenségi protokollal nem kompatibilis hálózati eszközzel vagy szoftverrel rendelkezik.

Megjegyzés

Ez a beállítás a Windows 7 vagy a Windows Server 2008 R2 rendszereket futtató számítógépekre alkalmazva nem támogatott. Nem alkalmazható a Windows korábbi verzióit futtató számítógépekre.

Blokkolási szabályok felülírása

Ezzel a beállítással engedélyezheti, hogy a tűzfalszabálynak megfelelő hálózati csomagok felülírják a blokkoló tűzfalszabályokat. Ez a lehetőség hitelesített áteresztő néven ismert. Általában a kapcsolatokat explicit módon tiltó szabályok elsőbbséget élveznek az engedélyező szabályokkal szemben. Ezen beállítás a kapcsolatot akkor is engedélyezi, ha egy másik szabály blokkolná azt. Azt határozza meg, hogy a szabálynak megfelelő hálózati forgalom engedélyezve legyen, mert az egy hitelesített vagy megbízható felhasználótól vagy számítógéptől származik.

Ez a lehetőség általában a megbízható alkalmazások, például a hálózati biztonsági réseket felderítő vagy más hálózati programok korlátozás nélküli futásának engedélyezésére szolgál. Habár egy tipikus tűzfal-konfiguráció blokkolja (és ajánlott blokkolnia) az ilyen eszközöktől érkező hálózati forgalmat, létrehozhat egy szabályt, amely azonosítja a hitelesített számítógépeket. A Blokkolási szabályok felülírása lehetőség csak ezen megbízható számítógépektől engedélyezi a forgalmat. Ha nem használja ezt a beállítást, a tűzfalszabályok feltételeinek megfelelő blokkoló tűzfalszabályok élveznek elsőbbséget, és a kapcsolatok le lesznek tiltva.

A beállítás kijelölésével meg kell adnia legalább egy hitelesítendő számítógépet vagy számítógépcsoportot az Új tűzfalszabály varázsló Számítógépek lapján vagy a Tűzfalszabály tulajdonságai párbeszédpanel Számítógépek lapján.

Megjegyzés

Ha a tűzfal működési állapotát Minden kapcsolat tiltása értékűre állítja a Fokozott biztonságú Windows tűzfal tulajdonságai párbeszédpanelen, ezen beállítás értékétől függetlenül minden hálózati forgalom blokkolva lesz.

Lásd még


Tartalom