En IP-filterliste starter sikkerhetsforhandlinger basert på treff med kilde, mål og typen IP-trafikk, med mindre en regel for blokkering eller tillatelse er i bruk. Denne typen IP-pakkefiltrering gjør det mulig for en administrator å definere nøyaktig hvilken IP-trafikk som blir sikret. Hver enkelt IP-filterliste inneholder ett eller flere filtre, som definerer IP-adresser og trafikktyper. Én IP-filterliste kan brukes for flere kommunikasjonsscenarier.

IPSec krever både et innkommende og et utgående filter mellom datamaskinene som er spesifisert i filterlisten, med unntak av regler for blokkering eller tillatelse. Innkommende filtre gjelder innkommende trafikk og gjør det mulig for den mottakende datamaskinen å svare på forespørsler om sikker kommunikasjon eller sammenligne trafikk med IP-filterlisten. Utgående filtre gjelder trafikk som forlater en datamaskin, og utfører en sikkerhetsforhandling før trafikken sendes.

Hvis du merker av for Avspeilet, oppretter du automatisk to filtre basert på filterinnstillingene: en for trafikk til målet og en for trafikk fra målet. Dette gjør det mulig med toveis-kommunikasjon med andre datamaskiner.

Filterlisteinnstillinger

Filterlister (og filterhandlinger) kan defineres enten før eller når du oppretter en policy. Filterlister er tilgjengelige for alle policyene. For å definere en filterliste høyreklikker du noden IP-sikkerhetspolicy og velger Behandle IP-filterlister og filterhandlinger.

Hvert filter definerer et delsett av innkommende og utgående nettverkstrafikk som filterhandlingen brukes på, enten ved å sikre trafikk (ved å bruke godkjenning, dataintegritet eller datakryptering), blokkere fullstendig eller tillate (uten å bruke godkjenning, dataintegritet eller datakryptering). Du må ha et filter for å dekke eventuell trafikk som den tilordnede regelen gjelder for. Et filter inneholder følgende innstillinger:

  • Kilde- og måladressene for IP-pakken. Du kan konfigurere en hvilken som helst IP-adresse som er tilordnet IPSec-maskinen, én enkelt IP-adresse, IP-adresser etter DNS-navn eller grupper med adresser for å angi IP-delnett.

  • Denne protokollen brukes til å overføre pakken. Dette dekker automatisk alle protokoller i TCP/IP-protokollserien. Den kan imidlertid konfigureres for en enkelt protokoll, inklusive en egendefinert protokoll, for å oppfylle spesielle krav.

  • Kilde- og målporten for protokollen for TCP og UDP. Som standard er alle TCP- og UDP-porter dekket, men dette kan konfigureres til å gjelde bare en bestemt TCP- eller UDP-port.

Viktig!

DNS-navneløsing inntreffer bare når filterlisten er opprettet og ikke oppdateres senere. Hvis IP-adressen altså endres, vil ikke policyen oppdateres. For å oppdatere IP-adressen må du redigere policyen.

Slik oppretter du en filterliste ved å bruke dialogboksen Egenskaper for ny regel:

  1. I dialogboksen Egenskaper for IP-sikkerhetspolicy velger du den aktuelle IP-sikkerhetsregelen og klikker Rediger, eller du kan opprette en ny regel ved å klikke Legg til.

  2. I kategorien IP-filterlister fjerner du avmerkingen for Bruk veiviser for å legge til hvis du vil opprette filterlisten i dialogboksen Egenskaper. Hvis du vil bruke veiviseren, lar du avmerkingsboksen være merket av. Klikk Legg til. Under følger instruksjoner om hvordan du oppretter en filterliste ved å bruke dialogboksen.

  3. I kategorien Adresser i dialogboksen Egenskaper for IP-filter velger du en kilde-IP-adresse (lokal) og en mål-IP-adresse (det vil si en IPSec-maskin).

  4. I kategorien Protokoll velger du protokolltypen som filteret skal samsvare med.

  5. (Valgfritt) I kategorien Beskrivelse skriver du inn en beskrivelse av filteret. Denne beskrivelsen gjør det enklere å finne frem i filtrene, og du vil kunne identifisere dem uten å måtte åpne filteregenskapene.

  6. Klikk OK.

  7. Gjenta trinn 4 til og med 8 for å legge til flere filtre i listen.

  8. Skriv inn et beskrivende navn for filterlisten i dialogboksen IP-filterliste. Klikk OK for å legge til filterlisten i regelen.

  9. I dialogboksen Egenskaper for ny regel velger du filterlisten.
Slik oppretter du en filterliste ved å bruke dialogboksen Behandle filterlister og filterhandlinger:

  1. Høyreklikk noden IP-sikkerhetspolicy og velg Behandle IP-filterlister og filterhandlinger.

  2. Velg Legg til i kategorien Behandle IP-filterlister.

  3. I dialogboksen IP-filterlister fjerner du avmerkingen for Bruk veiviser for å legge til hvis du vil opprette filterlisten i dialogboksen Egenskaper. Hvis du vil bruke veiviseren, lar du avmerkingsboksen være merket av. Klikk Legg til. Under følger instruksjoner om hvordan du oppretter en filterliste ved å bruke dialogboksen.

  4. I kategorien Adresser i dialogboksen Egenskaper for IP-filter velger du en kilde-IP-adresse (lokal) og en mål-IP-adresse (det vil si en IPSec-maskin).

  5. I kategorien Protokoll velger du protokolltypen som filteret skal samsvare med.

  6. (Valgfritt) I kategorien Beskrivelse skriver du inn en beskrivelse av filteret. Denne beskrivelsen gjør det enklere å finne frem i filtrene, og du vil kunne identifisere dem uten å måtte åpne filteregenskapene.

  7. Klikk OK.

  8. Gjenta trinn 4 til og med 8 for å legge til flere filtre i listen.

  9. Skriv inn et beskrivende navn for filterlisten i dialogboksen IP-filterliste. Klikk OK for å legge til filterlisten i regelen.

Se også

Innholdsfortegnelse