En Internet Protocol-sikkerhetspolicy (IPSec) består av én eller flere regler som bestemmer IPSec-virkemåte. IPSec-regler konfigureres i kategorien Regler i egenskapene for en IPSec-policy. Hver IPSec-regel inneholder følgende konfigurasjonselementer:
Filterliste
En enkelt filterliste som inneholder ett eller flere forhåndsdefinerte pakkefiltre som beskriver typen trafikk som den konfigurerte filterhandlingen for denne regelen brukes på. Filterlisten konfigureres i kategorien IP-filterliste i egenskapene for en IPSec-regel i en IPSec-policy. Mer informasjon om filterlister finner du her: Filterlister.
Filterhandling
Én enkelt filterhandling som inneholder typen handling som kreves (Tillat, Blokker eller Forhandle frem sikkerhet) for pakker som samsvarer med filterlisten. For filterhandlingen Forhandle frem sikkerhet inneholder forhandlingsdataene én eller flere sikkerhetsmetoder som brukes (i ønsket rekkefølge) under IKE-forhandlinger og andre IPSec-innstillinger. Hver sikkerhetsmetode bestemmer sikkerhetsprotokollen (for eksempel AH eller ESP), de kryptografiske algoritmene og hvilke innstillinger som brukes for ny generering av øktsnøkkel. Forhandlingsdataene konfigureres i kategorien Filterhandling i egenskapene for en IPSec-regel i en IPSec-policy. Mer informasjon finner du her: Filterhandlinger.
Godkjenningsmetoder
Det konfigureres én eller flere godkjenningsmetoder (i ønsket rekkefølge) som brukes til godkjenning av IPSec-maskiner under hovedmodusforhandlinger. De tilgjengelige godkjenningsmetodene er Kerberos V5-godkjenningsprotokollen, bruk av et sertifikat fra en angitt sertifiseringsinstans (CA) eller en forhåndsdelt nøkkel. Forhandlingsdataene konfigureres i kategorien Godkjenningsmetoder i egenskapene for en IPSec-regel i en IPSec-policy. Mer informasjon finner du her: IPSec-godkjenning.
Tunnelendepunkt
Angir om trafikken skal tunneleres og IP-adressen til tunnelendepunktet hvis den skal det. For utgående trafikk er tunnelendepunktet IP-adressen til IPSec-tunnelmaskinen. For innkommende trafikk er tunnelendepunktet en lokal IP-adresse. Tunnelendepunktet konfigureres i kategorien Tunnelinnstillinger i egenskapene for en IPSec-regel i en IPSec-policy. Du må opprette to tunnelregler, en for hver av retningene trafikken vil gå i. Mer informasjon finner du her: IPSec-tunnelinnstillinger.
Tilkoblingstype
Angir om regelen gjelder for lokalnettilkoblinger (LAN), eksterne tilkoblinger eller begge deler. Tilkoblingstypen konfigureres i kategorien Tilkoblingstype i egenskapene for en IPSec-regel i en IPSec-policy. Mer informasjon finner du her: IPSec-tilkoblingstype.
Standardsvarregel
Standardsvarregelen brukes til å sikre at datamaskinen svarer på forespørsler om sikker kommunikasjon. Hvis det ikke er definert en regel for en aktiv policy som ber om sikker kommunikasjon, brukes standardsvarregelen og sikkerhet forhandles, hvis standardsvarregelen er aktivert. Når for eksempel datamaskin A kommuniserer sikkert med datamaskin B, og datamaskin B har ikke definert et innkommende filter for datamaskin A, brukes standardsvarregelen.
Standardsvarreglene, som kan brukes for alle policyer, kan ikke slettes, men den kan deaktiveres. Du kan aktivere den når du oppretter en ny IPSec-policy med veiviseren for IP-sikkerhetspolicy.
Obs! | |
Standardsvarregelen vil bli ignorert i en policy som skal tilordnes til en datamaskin som kjører Windows Vista® eller en senere versjon av Windows. |
Godkjennings- og sikkerhetsmetoder kan konfigureres for standardsvarregelen. Filterlisten for <Dynamisk> viser at filterlisten ikke er konfigurert, men at filtre opprettes automatisk basert på mottaket av IKE-forhandlingspakker. Filterhandlingen Standardsvar viser at handlingen til filteret (Tillat, Blokkere eller Forhandle frem sikkerhet) ikke kan konfigureres.