Zasady protokołu IPsec (Internet Protocol security) składają się z jednej lub większej liczby reguł, które określają zachowanie protokołu IPSec. Reguły protokołu IPsec są konfigurowane na karcie Reguły w części dotyczącej właściwości zasad protokołu IPsec. Każda reguła protokołu IPsec zawiera następujące elementy konfiguracji:
Lista filtrów
Pojedyncza lista filtrów zawiera jeden lub więcej wstępnie zdefiniowanych filtrów pakietów opisujących typu ruchu, do którego stosowana jest akcja filtrowania skonfigurowana dla danej reguły. Listę filtrów konfiguruje się na karcie Lista filtrów IP we właściwościach reguły IPsec dla określonych zasad IPsec. Aby uzyskać więcej informacji, zobacz Listy filtrów.
Akcja filtrowania
Pojedyncza akcja filtrowania określająca wymagany typ akcji (Zezwalaj, Zablokuj lub Negocjuj protokół zabezpieczeń) dla pakietów, które spełniają kryteria listy filtrów. W przypadku akcji Negocjuj protokół zabezpieczeń dane dotyczące negocjacji obejmują jedną lub większą liczbę metod zabezpieczeń, które są używane (według priorytetu) podczas negocjacji IKE, oraz inne ustawienia protokołu IPsec. Każda metoda zabezpieczeń określa protokół zabezpieczeń (na przykład AH lub ESP), algorytmy kryptograficzne oraz ustawienie ponownego generowania klucza sesji. Dane dotyczące negocjacji konfiguruje się na karcie Akcja filtrowania we właściwościach reguły IPsec dla określonych zasad IPsec. Aby uzyskać więcej informacji, zobacz Akcje filtrowania.
Metody uwierzytelniania
Konfigurowana jest jedna lub wiele metod uwierzytelniania (według priorytetu), które są używane do uwierzytelniania węzłów równorzędnych protokołu IPsec w trakcie negocjacji w trybie głównym. Dostępne metody uwierzytelniania to protokół Kerberos v5, użycie certyfikatów wystawionych przez określony urząd certyfikacji lub zastosowanie klucza wstępnego. Dane dotyczące uwierzytelniania konfiguruje się na karcie Metody uwierzytelniania we właściwościach reguły IPsec dla określonych zasad IPsec. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie przy użyciu protokołu IPsec.
Punkt końcowy tunelu
Określa, czy ruch jest tunelowany i - jeśli tak - adres IP punktu końcowego tunelu. W przypadku ruchu wychodzącego punktem końcowym tunelu jest adres IP elementu równorzędnego tunelu IPsec. W przypadku ruchu przychodzącego punktem końcowym tunelu jest lokalny adres IP. Punkt końcowy tunelu konfiguruje się na karcie Ustawienia tunelowania we właściwościach reguły IPsec dla określonych zasad IPsec. Należy utworzyć dwie reguły dla tunelu, po jednej dla każdego kierunku ruchu. Aby uzyskać więcej informacji, zobacz Ustawienia tunelu protokołu IPsec.
Typ połączenia
Określa, czy reguła dotyczy połączeń w sieci lokalnej, połączeń zdalnych, czy obu typów połączeń. Typ połączenia konfiguruje się na karcie Typ połączenia we właściwościach reguły IPsec dla określonych zasad IPsec. Aby uzyskać więcej informacji, zobacz Typ połączenia IPsec.
Reguła odpowiedzi domyślnej
Reguła odpowiedzi domyślnej jest używana w celu zapewnienia, że komputer będzie odpowiadał na żądania komunikacji zabezpieczonej. Jeśli dla aktywnych zasad nie istnieje zdefiniowana reguła żądająca komunikacji zabezpieczonej, stosowana jest reguła odpowiedzi domyślnej, a zabezpieczenia są negocjowane, o ile reguła odpowiedzi domyślnej jest włączona. Reguła odpowiedzi domyślnej jest używana na przykład jeśli komputer A komunikuje się w sposób zabezpieczony z komputerem B, a na komputerze B nie zdefiniowano filtru przychodzącego dla komputera A.
Reguły odpowiedzi domyślnej, która może być stosowana dla wszystkich zasad, nie można usunąć, ale można ją dezaktywować. Opcja włączenia jej jest dostępna podczas tworzenia nowej zasady IPsec za pomocą Kreatora zasad zabezpieczeń IP.
Uwaga | |
Reguła odpowiedzi domyślnej będzie ignorowana w zasadach przypisanych do komputera z systemem Windows Vista® lub nowszą wersją systemu Windows. |
Dla reguły odpowiedzi domyślnej można skonfigurować metody uwierzytelniania i metody zabezpieczeń. <Dynamiczna> lista filtrów wskazuje, że lista filtrów nie została skonfigurowana, ale że filtry są tworzone automatycznie na podstawie odbieranych pakietów negocjacji IKE. Ustawienie Odpowiedź domyślna oznacza, że nie można skonfigurować akcji filtrowania (Zezwalaj, Zablokuj lub Negocjuj protokół zabezpieczeń).