Exceto no caso de uma regra de bloqueio ou permissão, uma lista de filtros IP aciona negociações de segurança com base em uma correspondência com a origem, o destino e o tipo de tráfego IP. Esse tipo de filtragem de pacotes IP permite que um administrador defina precisamente o tráfego IP que será protegido. Cada lista de filtros IP contém um ou mais filtros, que definem os tipos de tráfego e os endereços IP. É possível usar uma lista de filtros IP em vários cenários de comunicação.

O IPsec requer um filtro de entrada e um filtro de saída entre os computadores especificados na lista de filtros, exceto no caso de regras Bloquear ou Permitir. Os filtros de entrada aplicam-se ao tráfego de entrada e permitem que o computador do receptor responda às solicitações de comunicações seguras ou compare o tráfego com a lista de filtros IP. Os filtros de saída aplicam-se ao tráfego que deixa um computador e conduzem uma negociação de segurança antes de o tráfego ser enviado.

Ao usar a caixa de seleção Espelhado, você automaticamente cria dois filtros baseados nas configurações de filtro: um para o tráfego que se dirige ao destino e outro para o tráfego proveniente dele. Isso possibilita comunicações bidirecionais com outros computadores.

Configurações de lista de filtros

As listas de filtros (e ações de filtro) podem ser definidas durante ou antes da criação de uma diretiva. Listas de filtros estão disponíveis para qualquer diretiva. Para definir uma lista de filtros, clique com o botão direito do mouse no nó Diretiva de Segurança IP e selecione Gerenciar listas de filtros IP e ações de filtro.

Cada filtro define um subconjunto de tráfego de rede de entrada ou de saída, sobre o qual a ação de filtro atua protegendo o tráfego (através de autenticação, integridade de dados ou criptografia de dados), bloqueando-o inteiramente ou autorizando-o (sem usar autenticação, integridade de dados ou criptografia de dados). Você deve ter um filtro que abranja todo o tráfego ao qual a regra associada se aplica. Um filtro contém as seguintes configurações:

  • Os endereços de origem e de destino do pacote IP. Você pode configurar qualquer endereço IP atribuído ao ponto IPsec, um único endereço IP, endereços IP por nome DNS ou grupos de endereços para especificar sub-redes IP.

  • O protocolo usado para transferir o pacote. Isso abrange automaticamente todos os protocolos do pacote de protocolos TCP/IP. No entanto, ele pode ser configurado para um protocolo individual, incluindo um protocolo personalizado, a fim de atender a requisitos especiais.

  • As portas de origem e de destino do protocolo para TCP e UDP. Por padrão, todas as portas TCP e UDP são abrangidas, mas isso pode ser configurado de modo a se aplicar somente a uma porta TCP ou UDP específica.

Importante

A resolução de nomes DNS ocorre apenas quando a lista de filtros é criada e não é atualizada posteriormente. Por isso, se o endereço IP for alterado, a diretiva não será atualizada. Para atualizar o endereço IP, é necessário editar a diretiva.

Para criar uma lista de filtros usando a caixa de diálogo Propriedades da Nova Regra
  1. Na caixa de diálogo Propriedades da Diretiva de Segurança IP, selecione a regra de segurança IP correta e clique em Editar ou crie uma nova regra clicando em Adicionar.

  2. Na guia Lista de Filtros IP, desmarque a caixa de seleção Usar o Assistente para Adicionar para criar a lista de filtros na caixa de diálogo de propriedades. Para usar o assistente, deixe a caixa de seleção marcada. Clique em Adicionar. As instruções a seguir são para criar uma lista de filtros usando a caixa de diálogo.

  3. Na guia Endereços da caixa de diálogo Propriedades do Filtro IP, selecione um endereço IP de origem (local) e um endereço IP de destino (isto é, um ponto IPsec).

  4. Na guia Protocolo, selecione o tipo de protocolo a ser considerado pelo filtro na comparação.

  5. (Opcional) Na guia Descrição, digite a descrição do filtro. Essa descrição pode ajudá-lo a classificar filtros e permite identificar o filtro rapidamente, sem precisar abrir as propriedades.

  6. Clique em OK.

  7. Repita as etapas de 4 a 8 para adicionar outros filtros à lista.

  8. Na caixa de diálogo Lista de Filtros IP, digite um nome descritivo para a lista de filtros. Clique em OK para adicionar a lista de filtros à regra.

  9. Na caixa de diálogo Propriedades da Nova Regra, selecione a lista de filtros.

Para criar uma lista de filtros usando a caixa de diálogo Gerenciar listas de filtros e ações de filtro
  1. Clique com o botão direito do mouse no nó Diretiva de Segurança IP e selecione Gerenciar listas de filtros IP e ações de filtro.

  2. Na guia Gerenciar Listas de Filtros IP, clique em Adicionar.

  3. Na caixa de diálogo Lista de Filtros IP, desmarque a caixa de seleção Usar o Assistente para Adicionar para criar a lista de filtros na caixa de diálogo de propriedades. Para usar o assistente, deixe a caixa de seleção marcada. Clique em Adicionar. As instruções a seguir são para criar uma lista de filtros usando a caixa de diálogo.

  4. Na guia Endereços da caixa de diálogo Propriedades do Filtro IP, selecione um endereço IP de origem (local) e um endereço IP de destino (isto é, um ponto IPsec).

  5. Na guia Protocolo, selecione o tipo de protocolo a ser considerado pelo filtro na comparação.

  6. (Opcional) Na guia Descrição, digite a descrição do filtro. Essa descrição pode ajudá-lo a classificar filtros e permite identificar o filtro rapidamente, sem precisar abrir as propriedades.

  7. Clique em OK.

  8. Repita as etapas de 4 a 8 para adicionar outros filtros à lista.

  9. Na caixa de diálogo Lista de Filtros IP, digite um nome descritivo para a lista de filtros. Clique em OK para adicionar a lista de filtros à regra.

Consulte também