Ao selecionar Permitir a conexão, se for segura em uma regra de firewall, você está especificando que os pacotes de rede devem ser protegidos pelo protocolo IPsec (segurança do Protocolo Internet) ou o pacote não corresponderá à regra. Se você clicar em Personalizar ao lado dessa opção, poderá configurar essas opções que permitem a especificação do tipo de proteção IPsec necessária.
Você deve selecionar uma das três primeiras opções descritas abaixo. A última opção, Substituir regras de bloqueio, pode ser selecionada independentemente das outras opções.
Para acessar esta caixa de diálogo |
Ao criar uma regra de firewall usando o assistente Nova Regra de Firewall, na página Ação, clique em Permitir a conexão, se for segura e clique em Personalizar.
Ao modificar uma regra de firewall existente, na guia Geral, selecione Permitir a conexão, se for segura e clique em Personalizar.
Permitir a conexão se estiver autenticada e com integridade protegida
Essa é a opção padrão. Use essa opção para exigir que todos os pacotes de rede correspondentes usem a autenticação IPsec e os algoritmos de integridade conforme definido em uma regra de segurança de conexão separada. Se um pacote de rede que atender a todos os outros critérios não for autenticado ou protegido com um algoritmo de integridade, ele não corresponderá a essa regra e será bloqueado.
Observação | |
Essa configuração tem suporte quando é aplicada a computadores executando o Windows Vista ou versões posteriores do Windows. |
Exigir que as conexões sejam criptografadas
Use essa opção para exigir que todos os pacotes de rede correspondentes usem criptografia de dados conforme definido em uma regra de segurança de conexão separada. Se um pacote de rede que atender a todos os outros critérios não for criptografado, ele não corresponderá a essa regra e será bloqueado. Quando essa opção estiver habilitada, o Firewall do Windows com Segurança Avançada usará as configurações na caixa de diálogo Personalizar as Configurações de Proteção de Dados.
Permitir que os computadores negociem dinamicamente a criptografia
Essa opção está disponível somente para regras de entrada. Use essa opção para permitir que a conexão de rede, após o êxito da autenticação, envie e receba tráfego de rede não criptografado enquanto os algoritmos de criptografia são negociados.
Segurança Observação | |
Durante a negociação da criptografia, o tráfego de rede é enviado como texto não criptografado. Não especifique essa opção se o tráfego de rede enviado pela conexão durante esse período for sensível à transmissão de texto não criptografado. |
Permitir que a conexão use um túnel nulo
Use essa opção para exigir que todos os pacotes de rede correspondentes usem a autenticação IPsec, mas não exijam integridade ou proteção de criptografia. Recomendamos o uso dessa opção apenas quando tiver equipamento ou software de rede que não seja compatível com os protocolos de integridade ESP (Encapsulating Security Payload) ou AH (Authentication Header).
Observação | |
Essa configuração tem suporte quando é aplicada a computadores executando o Windows 7 ou o Windows Server 2008 R2. Ela não se aplica a computadores executando versões anteriores do Windows. |
Substituir regras de bloqueio
Use esta opção para permitir que os pacotes de rede que corresponderem a essa regra de firewall substituam quaisquer regras de bloqueio de firewall. Esta opção também é conhecida como bypass autenticado. Em geral, as regras que bloqueiam conexões explicitamente têm prioridade sobre as que permitem conexões. Se você usar esta opção, a conexão será permitida mesmo se outra regra a bloquear. Você estará efetivamente afirmando que o tráfego de rede que corresponde a essa regra tem permissão, pois é autenticado como proveniente de um usuário ou computador autorizado e confiável.
Essa opção é normalmente usada para permitir que programas confiáveis, como scanners de vulnerabilidade da rede e outras ferramentas de rede, executem sem restrições. Embora uma configuração típica de firewall deva bloquear, e de fato o faça, o tráfego de rede desses dispositivos, você pode criar uma regra que identifica computadores autorizados. A opção Substituir regras de bloqueio permite o tráfego apenas desses computadores autorizados. Se você não usar essa opção, quaisquer regras de bloqueio de firewall que atenderem aos mesmos critérios da regra de firewall prevalecerão e as conexões serão bloqueadas.
Se você selecionar essa opção, deverá especificar no mínimo um computador ou grupo de computadores para autorização na página Computadores do assistente Nova Regra de Firewall ou na guia Computadores da caixa de diálogo Propriedades de Regra do Firewall.
Observação | |
Se você configurar o estado operacional do firewall como Bloquear todas as conexões na caixa de diálogo Firewall do Windows com Propriedades de Segurança Avançada, todo o tráfego de rede será bloqueado mesmo se essa opção for definida. |