Um diretiva de protocolo IPsec consiste em uma ou mais regras que determinam o comportamento da segurança IPsec. As regras IPsec são configuradas na guia Regras das propriedades de uma diretiva IPsec. Cada regra IPsec contém os seguintes itens de configuração:

Lista de filtros

Uma única lista de filtros contém um ou mais filtros de pacotes predefinidos que descrevem os tipos de tráfego aos quais a ação de filtro configurada para a regra é aplicada. A lista de filtros é configurada na guia Lista de Filtros IP das propriedades de uma regra IPsec em uma diretiva IPsec. Para obter mais informações sobre listas de filtros, consulte Listas de filtros.

Ação de filtro

Uma única ação de filtro inclui o tipo de ação exigido (Permitir, Bloquear ou Negociar Segurança) para os pacotes que correspondem à lista de filtros. Para a ação de filtro Negociar Segurança, os dados de negociação contêm um ou mais métodos de segurança que são usados (em ordem de preferência) durante negociações IKE e outras configurações IPsec. Cada método de segurança determina o protocolo de segurança (como AH ou ESP), os algoritmos criptográficos e as configurações de regeneração de chaves de sessão utilizadas. Os dados de negociação são configurados na guia Ação de Filtro das propriedades de uma regra IPsec em uma diretiva IPsec. Para obter mais informações, consulte Ações de Filtro.

Métodos de autenticação

Um ou mais métodos de autenticação são configurados (em ordem de preferência) e usados para a autenticação de pontos IPsec durante negociações de modo principal. Os métodos de autenticação disponíveis são o protocolo de autenticação Kerberos V5, o uso de um certificado emitido por uma CA (autoridade de certificação) especificada ou de uma chave pré-compartilhada. Os dados de autenticação são configurados na guia Métodos de Autenticação das propriedades de uma regra IPsec em uma diretiva IPsec. Para obter mais informações, consulte Autenticação IPsec.

Ponto de extremidade do túnel

Especifica se o tráfego está encapsulado e, em caso positivo, o endereço IP do ponto de extremidade de túnel. Para o tráfego de saída, o ponto de extremidade de túnel é o endereço IP do ponto de túnel IPsec. Para o tráfego de entrada, o ponto de extremidade de túnel é um endereço IP local. O ponto de extremidade de túnel é configurado na guia Configuração de Túnel das propriedades de uma regra IPsec em uma diretiva IPsec. Você deve criar duas regras de túnel, uma para cada direção a ser percorrida pelo tráfego. Para obter mais informações, consulte Configurações de Túnel IPsec.

Tipo de conexão

Especifica se a regra se aplica a conexões de rede local (LAN), conexões remotas ou a ambas. O tipo de conexão é configurado na guia Tipo de Conexão das propriedades de uma regra IPsec em uma diretiva IPsec. Para obter mais informações, consulte Tipo de conexão IPsec.

Regra de resposta padrão

A regra de resposta padrão é usada para assegurar que o computador responda a todas as solicitações de comunicações seguras. Se uma diretiva ativa não tiver uma regra definida para solicitar comunicações seguras, a regra de resposta padrão será aplicada e a segurança será negociada caso a regra de resposta padrão esteja habilitada. Por exemplo, a regra de resposta padrão é utilizada quando o Computador A se comunica de forma segura com o Computador B e este último não tem um filtro de entrada definido para o Computador A.

A regra de resposta padrão, que pode ser usada para todas as diretivas, não pode ser excluída, mas é possível desativá-la. Você tem a opção de habilitá-la quando criar novas diretivas IPsec com o Assistente de Diretiva de Segurança IP.

Observação

A regra de resposta padrão será ignorada em uma diretiva atribuída a um computador que execute o Windows Vista® ou uma versão posterior do Windows.

Os métodos de autenticação e de segurança podem ser configurados para a regra de resposta padrão. A lista de filtros <Dinâmico> indica que a lista não está configurada, mas que filtros são criados automaticamente com base no recebimento de pacotes de negociação IKE. A ação de filtro Resposta Padrão indica que a ação do filtro (Permitir, Bloquear ou Negociar Segurança) não pode ser configurada.