Быстрый режим (известный также как Этап 2) согласования IKE устанавливает защищенный канал между двумя компьютерами для защиты данных. Так как этот этап включает установку сопоставлений безопасности (SA), которые согласуются от имени службы IPsec, создаваемые в быстром режиме сопоставления называются сопоставлениями IPsec. В быстром режиме материал для создания ключа обновляется или, при необходимости, создается новый ключ. Кроме того, выбирается комплект защиты трафика определенного IP-адреса. Комплект защиты - это определенный набор параметров целостности данных и шифрования. Быстрый режим не считается полноценным обменом, т.к. он зависит от обмена основного режима.
Монитор SA быстрого режима может предоставить данные о том, какие подключения установлены к данному компьютеру в данный момент времени, какой комплект защиты используется для формирования SA и другие сведения.
Универсальные фильтры
Универсальные фильтры - это IP-фильтры, настроенные для использования любого из параметров IP-адреса в адресах источника или назначения. IPsec позволяет использовать в настройках фильтра ключевые слова, такие как Мой IP-адрес, DNS-сервер, DHCP-сервер, WINS-серверы и Шлюз по умолчанию. При использовании ключевых слов универсальные фильтры отображают их в оснастке «Монитор IP-безопасности». Специальные фильтры - это результат применения ключевых слов к конкретным IP-адресам.
Добавление, удаление и сортировка по столбцам
В области результатов можно добавлять, удалять, перестраивать и сортировать при помощи следующих столбцов:
- Имя.
- Источник. IP-адрес источника пакета.
- Назначение. IP-адрес назначения пакета.
- Порт источника. TCP- или UDP-порт источника пакета.
- Порт назначения. TCP- или UDP-порт назначения пакета.
- Конечная точка туннеля (источник). Конечная точка туннеля, ближайшая к локальному компьютеру, если он указан.
- Конечная точка туннеля (назначение). Конечная точка туннеля, ближайшая к конечному компьютеру, если он указан.
- Протокол. Протокол, указанный в фильтре.
- Входящее действие. Указывает, входящий трафик разрешен, заблокирован или использует согласование безопасности.
- Исходящее действие. Указывает, исходящий трафик разрешен, заблокирован или использует согласование безопасности.
- Политика согласования. Имя политики согласования быстрого режима или параметры криптографии.
- Тип подключения. Тип подключения, к которому применим данный фильтр, - либо локальная сеть (LAN), удаленный доступ или все типы сетевого подключения.
Специальные фильтры
Специальные фильтры получаются из универсальных фильтров благодаря использованию в текущем подключении IP-адресов компьютера источника или назначения. Например, при формировании подключения, использующего фильтр с параметрами Мой IP-адрес для адреса источника и DHCP-сервер для адреса назначения, создается фильтр с IP-адресами данного компьютера и используемого им DHCP-сервера.
Добавление, удаление и сортировка столбцов
В области результатов можно добавлять, удалять, перестраивать и сортировать следующие столбцы:
- Имя.
- Источник. IP-адрес источника пакета.
- Назначение. IP-адрес назначения пакета.
- Порт источника. TCP- или UDP-порт источника пакета.
- Порт назначения. TCP- или UDP-порт назначения пакета.
- Конечная точка туннеля (источник). Конечная точка туннеля, ближайшая к локальному компьютеру, если он указан.
- Конечная точка туннеля (назначение). Конечная точка туннеля, ближайшая к конечному компьютеру, если он указан.
- Протокол. Протокол, указанный в фильтре.
- Входящее действие. Указывает, входящий трафик разрешен, заблокирован или использует согласование безопасности.
- Исходящее действие. Указывает, исходящий трафик разрешен, заблокирован или использует согласование безопасности.
- Политика согласования. Имя политики согласования быстрого режима или параметры криптографии.
- Вес. Приоритет фильтра, назначаемый службой IPsec. Вес зависит от многих факторов. Дополнительные сведения о весах фильтров см. по адресу
https://go.microsoft.com/fwlink/?LinkId=62212 (страница может быть на английском языке).
Примечание На компьютерах под управлением Windows Vista®, Windows Server® 2008 или более поздних версий Windows значение свойства «Вес» всегда равно 0.
Политики согласования
Политика согласования - это упорядоченные по приоритету методы безопасности, которые два связанных компьютера соглашаются использовать при взаимодействии друг с другом в процессе согласований в быстром режиме.
Статистические данные
В этой таблице отображаются статистические данные, доступные в представлении статистических данных быстрого режима:
Статистика IPSec | Описание |
---|---|
Активных сопоставлений безопасности | Число активных сопоставлений безопасности IPSec. |
Разгруженные сопоставления безопасности | Число активных сопоставлений безопасности IPSec, разгруженных на оборудование. |
Незаконченные операции с ключами | Число выполняемых операций с ключами IPsec. |
Дополнения по ключам | Общее число успешных согласований IPsec SA. |
Удаления ключей | Число удалений ключей для IPsec SA. |
Повторное создание ключей | Число операций повторного создания ключей для IPsec SA. |
Активные туннели | Число активных туннелей IPSec. |
Сбойные пакеты SPI | Общее число пакетов с неправильным индексом параметров безопасности (SPI). SPI используется для сравнения входящих пакетов с сопоставлениями безопасности. Неправильный индекс параметров безопасности может означать, что срок действия входящего сопоставления безопасности истек и недавно был получен пакет, использующий старое сопоставление безопасности. Это значение может увеличиваться при коротких интервалах смены ключей и большом числе сопоставлений безопасности. Поскольку срок действия сопоставлений безопасности истекает при обычных условиях, наличие сбойных пакетов SPI не обязательно означает сбой IPsec. |
Незашифрованные пакеты | Общее число пакетов, которые не удалось расшифровать. Неудача при расшифровке пакета может означать, что срок действия сопоставления безопасности для полученного пакета истек. При истечении срока действия сопоставления безопасности ключ сеанса, используемый для расшифровки пакета, также удаляется. Наличие нерасшифрованных пакетов не обязательно означает сбой IPsec. |
Пакеты, отвергнутые при проверке | Общее число пакетов, данные которых не удалось проверить. Наиболее вероятная причина таких сбоев - истечение срока действия сопоставлений безопасности. |
Пакеты с определением ответа | Общее число пакетов, содержащих действующее поле порядкового номера. |
Послано байтов (секретных) | Общее число байт, отправленных по протоколу ESP. |
Получено байтов (секретных) | Общее число байт, отправленных по протоколу ESP. |
Послано байтов (проверенных) | Общее число байт, отправленных по протоколу AH. |
Получено байтов (проверенных) | Общее число байт, полученных по протоколу AH. |
Транспортных байтов отправлено | Общее число байт, отправленных в режиме транспорта IPSec. |
Транспортных байтов получено | Общее число байт, полученных в режиме транспорта IPSec. |
Отправлено в туннель, байтов | Общее число байт, отправленных в туннельном режиме IPSec. |
Получено из туннеля, байтов | Общее число байт, полученных в туннельном режиме IPSec. |
Отправлено разгруженных байтов | Общее число байт, отправленных с использованием аппаратной разгрузки. |
Получено разгруженных байтов | Общее число байт, полученных с использованием аппаратной разгрузки. |
Примечание | |
Некоторые из этих данных могут быть использованы для выявления сетевых атак. |
Сопоставления безопасности
Это представление отображает активные для данного компьютера сопоставления безопасности Сопоставление безопасности - это сочетание согласованного ключа, протокола безопасности и индекса параметров безопасности, вместе определяющих механизмы безопасности, используемые для защиты данных, передаваемых между сторонами соединения. Поэтому при просмотре сопоставлений безопасности данного компьютера можно определить, какие компьютеры к нему подключены, какой тип целостности данных и шифрования используется, а также получить другую информацию.
Эта информация может быть полезной при тестировании политик IPsec и устранении проблем доступа.
Добавление, удаление и сортировка столбцов
В области результатов можно добавлять, удалять, перестраивать и сортировать следующие столбцы:
- Я. IP-адрес локального компьютера.
- Респондент. IP-адрес удаленного компьютера.
- Протокол. Протокол, указанный в фильтре.
- Мой порт. TCP- или UDP-порт локального компьютера, указанный в фильтре.
- Порт респондента. TCP- или UDP-порт удаленного компьютера, указанный в фильтре.
- Политика согласования. Имя политики согласования быстрого режима или параметры криптографии.
- Целостность AH. Специфичный для протокола AH метод целостности данных, используемый в одноранговых подключениях.
- Конфиденциальность ESP. Специфичный для протокола ESP метод шифрования, используемый в одноранговых подключениях.
- Целостность ESP. Специфичный для протокола ESP метод целостности данных, используемый в одноранговых подключениях.
- Конечная точка туннеля (этот компьютер). Конечная точка туннеля, ближайшая к локальному компьютеру, если он указан.
- Конечная точка туннеля (компьютер назначения). Конечная точка туннеля, ближайшая к локальному компьютеру, если он указан.