Ad eccezione del caso di una regola di blocco o di autorizzazione, un elenco di filtri IP attiva negoziazioni di sicurezza basate sulla corrispondenza con l'origine, la destinazione e il tipo di traffico IP. Questo tipo di filtro dei pacchetti IP consente all'amministratore di rete di definire precisamente il traffico IP che verrà protetto. Ogni elenco di filtri IP contiene uno o più filtri che definiscono tipi di traffico e indirizzi IP. È possibile utilizzare un singolo elenco di filtri IP per più scenari di comunicazione.
IPSec richiede sia un filtro in ingresso che un filtro in uscita tra i computer specificati nell'elenco di filtri, tranne che per le regole di blocco o di autorizzazione. I filtri in ingresso vengono applicati al traffico in arrivo, consentendo al computer ricevente di rispondere alle richieste di comunicazione sicura oppure di verificare la corrispondenza del traffico con l'elenco di filtri IP. I filtri in uscita vengono applicati al traffico in uscita e prevedono una negoziazione della sicurezza prima dell'invio del traffico.
Tramite la casella di controllo Con mirroring è possibile creare automaticamente due filtri: uno per il traffico diretto verso la destinazione e l'altro per il traffico proveniente dalla destinazione. In tal modo è possibile stabilire comunicazioni bidirezionali con altri computer.
Impostazioni degli elenchi di filtri
Gli elenchi di filtri (e le operazioni filtro) possono essere definiti prima o durante la creazione di un criterio. Gli elenchi di filtri sono disponibili per qualsiasi criterio. Per definire un elenco di filtri, fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e scegliere Gestisci elenchi filtri IP e operazioni filtro.
Ogni filtro individua un sottoinsieme del traffico di rete in ingresso o in uscita e vi interviene proteggendolo (tramite autenticazione, integrità dei dati o crittografia), bloccandolo interamente o autorizzandolo (senza autenticazione, integrità dei dati o crittografia). È necessario definire un filtro per ogni tipo di traffico a cui si applica la regola associata. Un filtro contiene le seguenti impostazioni:
- Gli indirizzi IP di origine e di destinazione del pacchetto IP. È possibile configurare qualsiasi indirizzo IP assegnato al peer IPSec, un indirizzo IP specifico, indirizzi IP individuati tramite nome DNS o gruppi di indirizzi che specificano subnet IP.
- Il protocollo utilizzato per trasferire il pacchetto. Sono previsti tutti i protocolli del gruppo TCP/IP. Per soddisfare esigenze particolari, è tuttavia possibile configurare questa impostazione su un singolo protocollo, inclusi i protocolli personalizzati.
- La porta di origine e di destinazione del protocollo per TCP e UDP. Per impostazione predefinita, sono previste tutte le porte TCP e UDP, ma è possibile configurare questa impostazione in modo che venga applicata solo a una porta TCP o UDP specifica.
Importante | |
La risoluzione dei nomi DNS avviene solo quando l'elenco di filtri viene creato e non viene ripetuta successivamente. Pertanto, se l'indirizzo IP viene modificato, il criterio non verrà aggiornato. Per aggiornare l'indirizzo IP è necessario modificare il criterio. |
Per creare un elenco di filtri utilizzando la finestra di dialogo Proprietà nuova regola |
Nella finestra di dialogo Proprietà criterio di sicurezza IP selezionare la regola di sicurezza IP desiderata e fare clic su Modifica oppure creare una nuova regola facendo clic su Aggiungi.
Se si desidera creare l'elenco di filtri utilizzando la finestra di dialogo delle proprietà, nella scheda Elenco filtri IP deselezionare la casella di controllo Utilizza Aggiunta guidata. Se si desidera utilizzare la procedura guidata, lasciare selezionata la casella di controllo. Fare clic su Aggiungi. Le istruzioni seguenti si riferiscono alla creazione di un elenco di filtri tramite la finestra di dialogo.
Nella scheda Indirizzi della finestra di dialogo Proprietà filtro IP selezionare un indirizzo IP di origine (locale) e un indirizzo IP di destinazione (che individua un peer IPSec).
Nella scheda Protocollo selezionare il tipo di protocollo su cui il filtro agirà.
(Facoltativo) Nella scheda Descrizione digitare una descrizione del filtro. Tale descrizione faciliterà l'ordinamento dei filtri e ne consentirà l'identificazione rapida senza che sia necessario esaminarne le proprietà.
Fare clic su OK.
Ripetere i passaggi da 4 a 8 per aggiungere altri filtri all'elenco.
Nella finestra di dialogo Elenco filtri IP digitare un nome descrittivo per l'elenco di filtri. Fare clic su OK per aggiungere l'elenco di filtri alla regola.
Nella finestra di dialogo Proprietà nuova regola selezionare l'elenco di filtri.
Per creare un elenco di filtri utilizzando la finestra di dialogo Gestisci elenchi filtri IP e operazioni filtro |
Fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e scegliere Gestisci elenchi filtri IP e operazioni filtro.
Nella scheda Gestione elenchi filtri IP fare clic su Aggiungi.
Se si desidera creare l'elenco di filtri utilizzando la finestra di dialogo delle proprietà, nella scheda Elenco filtri IP deselezionare la casella di controllo Utilizza Aggiunta guidata. Se si desidera utilizzare la procedura guidata, lasciare selezionata la casella di controllo. Fare clic su Aggiungi. Le istruzioni seguenti si riferiscono alla creazione di un elenco di filtri tramite la finestra di dialogo.
Nella scheda Indirizzi della finestra di dialogo Proprietà - Filtro IP selezionare un indirizzo IP di origine (locale) e un indirizzo IP di destinazione, ovvero un peer IPSec.
Nella scheda Protocollo selezionare il tipo di protocollo su cui agirà il filtro.
(Facoltativo) Nella scheda Descrizione digitare una descrizione del filtro. Tale descrizione faciliterà l'individuazione dei filtri e ne consentirà l'identificazione rapida senza che sia necessario esaminarne le proprietà.
Fare clic su OK.
Ripetere i passaggi da 4 a 8 per aggiungere altri filtri all'elenco.
Nella finestra di dialogo Elenco filtri IP digitare un nome descrittivo per l'elenco di filtri. Fare clic su OK per aggiungere l'elenco di filtri alla regola.