Un criterio IPSec (Internet Protocol Security) è rappresentato da una o più regole che definiscono il funzionamento di IPSec. Le regole IPSec possono essere configurate nella scheda Regole delle proprietà di un criterio IPSec. Ogni regola IPSec contiene gli elementi di configurazione seguenti:
Elenco di filtri
Un singolo elenco di filtri contenente uno o più filtri di pacchetto predefiniti che descrivono i tipi di traffico ai quali è applicata l'operazione filtro configurata per la regola. È possibile configurare l'elenco di filtri nella scheda Elenco filtri IP delle proprietà di una regola IPSec di un criterio IPSec. Per ulteriori informazioni sugli elenchi di filtri, vedere Elenchi di filtri.
Operazione filtro
Una singola operazione filtro contenente il tipo di operazione richiesta (Autorizza, Blocco o Negozia sicurezza) per i pacchetti corrispondenti all'elenco di filtri. I dati di negoziazione per l'operazione filtro Negozia sicurezza contengono uno o più metodi di sicurezza utilizzati, in ordine di preferenza, durante le negoziazioni IKE e altre impostazioni relative a IPSec. Ogni metodo di sicurezza stabilisce il protocollo di sicurezza, ad esempio AH o ESP, gli algoritmi di crittografia e le impostazioni utilizzate per la rigenerazione delle chiavi di sessione. È possibile configurare i dati di negoziazione nella scheda Operazione filtro delle proprietà di una regola IPSec di un criterio IPSec. Per ulteriori informazioni, vedere Operazioni filtro.
Metodi di autenticazione
Vengono configurati uno o più metodi di autenticazione in ordine di preferenza, che vengono quindi utilizzati per l'autenticazione dei peer IPSec durante le negoziazioni in modalità principale. I metodi di autenticazione disponibili sono il protocollo Kerberos V5, l'utilizzo di un certificato emesso da un'Autorità di certificazione (CA) specificata o una chiave già condivisa. È possibile configurare i dati di autenticazione nella scheda Metodi autenticazione delle proprietà di una regola IPSec di un criterio IPSec. Per ulteriori informazioni, vedere Autenticazione IPSec.
Endpoint tunnel
Specifica se per il traffico viene eseguito il tunneling e l'eventuale indirizzo IP dell'endpoint del tunnel. Per il traffico in uscita, l'endpoint del tunnel corrisponde all'indirizzo IP del peer del tunnel IPSec, mentre per il traffico in ingresso corrisponde a un indirizzo IP locale. È possibile configurare l'endpoint del tunnel nella scheda Impostazioni tunnel delle proprietà di una regola IPSec di un criterio IPSec. È necessario creare due regole di tunneling, una per ogni direzione del traffico. Per ulteriori informazioni, vedere Impostazioni del tunnel IPSec.
Tipo di connessione
Specifica se la regola è valida per le connessioni LAN, per le connessioni remote o per entrambe. È possibile configurare il tipo di connessione nella scheda Tipo di connessione delle proprietà di una regola IPSec di un criterio IPSec. Per ulteriori informazioni, vedere Tipo di connessione IPSec.
Regola di risposta predefinita
La regola di risposta predefinita consente di assicurare la risposta del computer alle richieste di comunicazione sicura. Se in un criterio attivo non è stata definita una regola che richiede la comunicazione sicura, verrà applicata la regola di risposta predefinita (se attivata) e verrà negoziata la sicurezza. Verrà ad esempio utilizzata la regola di risposta predefinita se Computer A comunica in modo sicuro con Computer B e in Computer B non è stato definito alcun filtro in ingresso per Computer A.
La regola di risposta predefinita può essere utilizzata per tutti i criteri e non può essere eliminata, ma può essere disattivata. È possibile attivarla quando si creano nuovi criteri IPSec con la Creazione guidata criteri di sicurezza IP.
Nota | |
La regola di risposta predefinita verrà ignorata in un criterio assegnato a un computer che esegue Windows Vista® o una versione successiva di Windows. |
È possibile configurare i metodi di autenticazione e i metodi di sicurezza per la regola di risposta predefinita. L'elenco di filtri <Dinamico> indica che l'elenco non è stato configurato, ma che i filtri vengono creati automaticamente in base alla ricezione dei pacchetti di negoziazione IKE. L'operazione filtro Risposta predefinita indica che non è possibile configurare l'operazione del filtro (Autorizza, Blocco o Negozia sicurezza).