Wybranie opcji Zezwalaj na połączenie, jeśli jest bezpieczne w regule zapory oznacza określenie konieczności ochrony pakietów sieciowych przez zabezpieczenia protokołu internetowego (IPsec); w przeciwnym razie pakiet nie jest zgodny z regułą. Klikając przycisk Dostosuj obok tej opcji, można skonfigurować opcje umożliwiające określenie wymaganego typu ochrony IPsec.

Musisz wybrać jedną z pierwszych trzech opcji opisanych poniżej. Ostatnią opcję, Zastąp reguły blokowania, można wybrać niezależnie od innych opcji.

Aby uzyskać dostęp do tego okna dialogowego
  • Podczas tworzenia reguły zapory za pomocą kreatora nowej reguły zapory, na stronie Akcja, kliknij pozycję Zezwalaj na połączenie, jeśli jest bezpieczne, a następnie kliknij przycisk Dostosuj.

  • Modyfikując istniejącą regułę zapory na karcie Ogólne, wybierz opcję Zezwalaj na połączenie, jeśli jest bezpieczne, a następnie kliknij przycisk Dostosuj.

Zezwalaj na połączenie, jeżeli jest uwierzytelnione i ma zabezpieczoną integralność

Jest to opcja domyślna. Ta opcja służy do włączenia żądania użycia uwierzytelniania protokołu IPsec i algorytmów integralności przez wszystkie zgodne pakiety sieciowe zgodnie z definicją w oddzielnej regule zabezpieczeń połączeń. Jeśli pakiet sieciowy zgodny ze wszystkimi innymi kryteriami nie jest uwierzytelniony ani zabezpieczony za pomocą algorytmu integralności, nie jest zgodny z tą regułą i zostaje zablokowany.

Uwaga

To ustawienie jest obsługiwane na komputerach z systemem Windows Vista lub nowszymi wersjami systemu Windows.

Wymagaj szyfrowania połączeń

Ta opcja służy do włączenia żądania użycia przez wszystkie zgodne pakiety sieciowe szyfrowania danych zgodnie z definicją w oddzielnej regule zabezpieczeń połączeń. Jeśli pakiet sieciowy zgodny ze wszystkimi innymi kryteriami nie jest zaszyfrowany, nie jest zgodny z tą regułą i zostaje zablokowany Gdy ta opcja jest włączona, aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi używa ustawień w oknie dialogowym Dostosowywanie ustawień ochrony danych.

Zezwalaj komputerom na dynamiczne negocjowanie szyfrowania

Ta opcja jest dostępna tylko dla reguł ruchu przychodzącego. Ta opcja służy do zezwalania na połączenia sieciowe po pomyślnym uwierzytelnieniu w celu wysyłania i odbierania nieszyfrowanego ruchu sieciowego przy negocjowaniu algorytmów szyfrowania.

Uwaga dotycząca zabezpieczeń

Podczas gdy szyfrowanie jest negocjowane, ruch sieciowy jest wysyłany jako zwykły tekst. Nie określaj tej opcji, jeśli ruch sieciowy wysyłany przez połączenie w tym czasie jest zbyt poufny, aby mógł być transmitowany jako zwykły tekst.

Zezwalaj na używanie przez połączenia hermetyzacji zerowej

Ta opcja służy do włączenia żądania użycia uwierzytelniania protokołu IPsec przez wszystkie zgodne pakiety sieciowe, bez żądania ochrony integralności lub za pomocą szyfrowania. Zaleca się używanie tej opcji, tylko jeśli używany sprzęt sieciowy lub oprogramowanie nie są zgodne z protokołami integralności ESP (Encapsulating Security Payload) ani AH (Authentication Header).

Uwaga

To ustawienie jest obsługiwane na komputerach z systemem Windows 7 lub Windows Server 2008 R2. Nie może zostać zastosowane na komputerach ze starszymi wersjami systemu Windows.

Zastąp reguły blokowania

Ta opcja służy do zezwolenia na pakiety sieciowe zgodne z tą regułą zapory w celu zastąpienia wszystkich reguł zapory dotyczących blokowania. Nazywa się ją również pomijaniem uwierzytelnionym. Zazwyczaj reguły wyraźnie blokujące połączenia mają wyższy priorytet niż reguły zezwalające na połączenia. W przypadku użycia tej opcji połączenie będzie dozwolone nawet wtedy, gdy blokuje je inna reguła. Ruch zgodny z tą regułą zostaje określony jako dozwolony, ponieważ jest uwierzytelniany jako pochodzący od uwierzytelnionego i zaufanego użytkownika lub komputera.

Ta opcja jest zazwyczaj używana w celu zezwolenia zaufanym programom, takim jak sieciowe produkty skanujące luki w zabezpieczeniach i inne narzędzia sieciowe, na działanie bez ograniczeń. Mimo że typowa konfiguracja zapory blokuje i powinna blokować ruch sieciowy z takich urządzeń, można utworzyć regułę identyfikującą autoryzowane komputery. Opcja Zastąp reguły blokowania zezwala na ruch tylko z tych autoryzowanych komputerów. Jeśli ta opcja nie jest używana, wszystkie reguły blokowania na zaporze zgodne z tym samym kryterium reguły będą miały pierwszeństwo, więc połączenia będą blokowane.

Po zaznaczeniu tej opcji należy określić co najmniej jeden komputer lub grupę komputerów do uwierzytelniania na stronie Komputery kreatora nowej reguły zapory lub na karcie Komputery okna dialogowego Właściwości reguły zapory.

Uwaga

Jeśli w oknie dialogowym Właściwości zapory systemu Windows z zabezpieczeniami zaawansowanymi jako stan operacyjny zapory zostanie skonfigurowana opcja Zablokuj wszystkie połączenia, cały ruch sieciowy będzie blokowany nawet w przypadku ustawienia tej opcji.

Zobacz też


Spis treści