Политика IPSec состоит из одного или нескольких правил, определяющих характеристики IPSec. Конфигурация правил IPSec задается на вкладке Правила в окне свойств политики IPSec. Каждое правило IPSec содержит следующие элементы конфигурации.
Список фильтров
Выбирается единственный список фильтров, содержащий один или несколько предопределенных фильтров пакетов, описывающих типы трафика, к которым применяется действие фильтра из этого правила. Конфигурация списка фильтров задается на вкладке Список фильтров IP в окне свойств правила IPSec в политике IPSec. Дополнительные сведения о списках фильтров см. в разделе Списки фильтров.
Действие фильтра
Единственное действие фильтра, включающее тип требуемого действия (разрешить, блокировать или согласовать безопасность) для пакетов, соответствующих списку фильтров. Для действия фильтра «Согласовать безопасность» данные согласования включают один или несколько методов безопасности, которые используются (в порядке приоритетов) при согласованиях IKE, и другие параметры IPSec. Каждый метод безопасности определяет протокол безопасности (такой как AH или ESP), алгоритмы шифрования и используемые параметры регенерации ключа сеанса. Данные согласования настраиваются на вкладке Действие фильтра в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Действия фильтров.
Методы проверки подлинности
Настраиваются один или несколько методов проверки подлинности (в порядке приоритетов), которые используются для проверки подлинности на обеих сторонах подключения IPSec во время согласований основного режима. Доступными методами проверки подлинности являются протокол Kerberos V5, сертификат, выданный конкретным центром сертификации или предварительный ключ. Данные проверки подлинности настраиваются на вкладке Методы проверки подлинности в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Проверка подлинности IPsec.
Конечная точка туннеля
Указывает, выполняется ли туннелирование трафика, и, если выполняется, IP-адрес конечной точки туннеля. Для исходящего трафика конечной точкой туннеля является IP-адрес другой стороны подключения IPSec. Для входящего трафика конечной точкой туннеля является локальный IP-адрес. Конечная точка туннеля задается на вкладке Параметры туннеля в окне свойств правила IPSec в политике IPSec. Следует создать два правила туннеля, по одному на каждое направление трафика. Дополнительные сведения см. в разделе Настройки туннеля IPsec.
Тип подключения
Указывает применение правила к подключениям по локальной сети, удаленного доступа или обоих типов. Тип подключения задается на вкладке Тип подключения в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Тип подключения IPsec.
Правило отклика по умолчанию
Правило отклика по умолчанию обеспечивает ответ компьютера на запросы безопасного соединения. Если в активной политике не определено правило для компьютера, запрашивающего безопасное соединение, применяется правило отклика по умолчанию и выполняется согласование безопасности. Например, когда выполняется безопасное соединение компьютера A с компьютером B, и компьютер B не имеет фильтра входящего трафика, определенного для компьютера A, применяется правило отклика по умолчанию.
Правило отклика по умолчанию, которое может быть использовано для всех политик, не может быть удалено, но его можно деактивировать. Ее можно включить при создании новых политик IPsec с помощью мастера политики IPsec.
Примечание | |
Правило отклика по умолчанию игнорируется в политике, назначенной компьютерам под управлением Windows Vista® или более поздней версии Windows. |
Для правила отклика по умолчанию могут быть заданы методы проверки подлинности и методы безопасности. Название списка фильтров <Динамический> показывает, что список фильтров не настраивается, а фильтры создаются автоматически на основе полученных пакетов согласования IKE. Название действия фильтра «Отклик по умолчанию» показывает, что действия фильтра (разрешить, блокировать или согласовать безопасность) настроить нельзя.