Een IPSec-beleid (Internet Protocol Security) bestaat uit een of meer regels die het IPSec-gedrag bepalen. U kunt de IPSec-regels configureren op het tabblad Regels in de eigenschappen van een IPSec-beleid. Elke IPSec-regel bevat de volgende configuratie-items:

Filterlijst

Eén filterlijst die een of meer vooraf gedefinieerde pakketfilters bevat waarmee de typen verkeer worden beschreven waarop de geconfigureerde filteractie voor deze regel wordt toegepast. U kunt de filterlijst configureren op het tabblad IP-filterlijst in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. Zie Filterlijsten voor meer informatie over filterlijsten.

Filteractie

Eén filteractie die het vereiste type actie (toestaan, blokkeren of onderhandelen over beveiliging) bevat voor pakketten die overeenkomen met de filterlijst. Voor de filteractie voor onderhandelen over beveiliging bevatten de onderhandelingsgegevens een of meer beveiligingsmethoden die (in volgorde van voorkeur) worden gebruikt tijdens IKE-onderhandelingen en andere IPSec-instellingen. In elke beveiligingsmethode worden het beveiligingsprotocol (bijvoorbeeld AH of ESP), de cryptografische algoritmen en de instellingen voor het opnieuw genereren van sessiesleutels bepaald. U kunt de onderhandelingsgegevens configureren op het tabblad Filteractie in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. Zie Filteracties voor meer informatie.

Verificatiemethoden

Er worden een of meer verificatiemethoden geconfigureerd (in volgorde van voorkeur) en gebruikt voor de verificatie van IPSec-peers tijdens onderhandelingen in de hoofdmodus. De beschikbare verificatiemethoden zijn het verificatieprotocol Kerberos V5, het gebruik van een certificaat dat is uitgegeven door een bepaalde certificeringsinstantie, of een vooraf gedeelde sleutel. U kunt de verificatiegegevens configureren op het tabblad Verificatiemethoden in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. Zie IPSec-verificatie voor meer informatie.

Tunneleindpunt

Hiermee wordt aangegeven of er tunneling wordt toegepast. Als dit het geval is, wordt ook het IP-adres van het tunneleindpunt vermeld. Voor uitgaand verkeer is het tunneleindpunt het IP-adres van de IPSec-tunnelpeer. Voor binnenkomend verkeer is het tunneleindpunt een lokaal IP-adres. U kunt het tunneleindpunt configureren op het tabblad Tunnel-instellingen in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. U moet twee tunnelregels maken: één voor elke richting waarin het verkeer zich beweegt. Zie Instellingen voor IPSec-tunnel voor meer informatie.

Type verbinding

Hiermee wordt aangegeven of de regel van toepassing is op LAN-verbindingen (Local Area Network), externe verbindingen of beide. U kunt het type verbinding configureren op het tabblad Type verbinding in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. Zie Type IPSec-verbinding voor meer informatie.

Standaardantwoordregel

De standaardantwoordregel wordt gebruikt om ervoor te zorgen dat de computer reageert op verzoeken om beveiligde communicatie. Als er in een actief beleid geen regel is gedefinieerd voor verzoeken om beveiligde communicatie, wordt de standaardantwoordregel toegepast en wordt er onderhandeld over beveiliging, als de standaardantwoordregel is ingeschakeld. Als er bijvoorbeeld beveiligde communicatie plaatsvindt tussen computer A en computer B, terwijl er op computer B geen binnenkomend filter is gedefinieerd voor computer A, wordt de standaardantwoordregel gebruikt.

U kunt de standaardantwoordregel, die voor elk beleid kan worden gebruikt, niet verwijderen, maar wel uitschakelen. U kunt deze inschakelen wanneer u nieuw IPSec-beleid maakt met de wizard IP-beveiligingsbeleid.

Opmerking

De standaardantwoordregel wordt genegeerd in een beleid dat wordt toegewezen aan een computer met Windows Vista® of een hogere versie van Windows.

U kunt de verificatiemethoden en de beveiligingsmethoden configureren voor de standaardantwoordregel. Als de filterlijst <Dynamisch> is, is deze lijst niet geconfigureerd maar worden de filters automatisch gemaakt op basis van de ontvangst van IKE-onderhandelingspakketten. De filteractie Standaardantwoord geeft aan dat de actie van het filter (toestaan, blokkeren of onderhandelen over beveiliging) niet kan worden geconfigureerd.