Internet Protokolü güvenliği (IPsec) ilkesi, IPsec davranışını belirleyen bir veya daha fazla kuraldan oluşur. IPsec kuralları, bir IPsec ilkesinin özelliklerinde, Kurallar sekmesinden yapılandırılır. Her IPsec kuralı aşağıdaki yapılandırma öğelerini içerir:
Filtre listesi
Bu kural için yapılandırılan filtreleme eyleminin uygulandığı trafik türlerini açıklayan, önceden tanımlanmış bir veya daha çok paket filtresi içeren tek bir filtre listesidir. Filtre listesi, bir IPsec ilkesinde yer alan IPsec kuralının özelliklerinde, IP Filtresi Listesi sekmesinden yapılandırılır. Filtre listeleri hakkında daha fazla bilgi için bkz: Filtre Listeleri.
Süzme eylemi
Filtre listesiyle eşleşen paketler için gereken eylem türünü (İzin Ver, Önle veya Güvenlik Anlaşması) içeren tek bir filtreleme eylemidir. Güvenlik Anlaşması filtreleme eylemi için, anlaşma verileri, IKE anlaşmaları sırasında kullanılan (tercih sırasıyla) bir veya daha çok güvenlik yöntemini ve diğer IPsec ayarlarını içerir. Her güvenlik yöntemi, kullanılan güvenlik protokolünü (AH veya ESP gibi), şifreleme algoritmalarını ve oturum anahtarı yeniden oluşturma ayarlarını belirler. Anlaşma verileri, bir IPsec ilkesinde yer alan IPsec kuralının özelliklerinde, Filtreleme Eylemi sekmesinden yapılandırılır. Daha fazla bilgi için, bkz: Filtreleme Eylemleri.
Kimlik doğrulama yöntemleri
Bir veya daha çok kimlik doğrulama yöntemi yapılandırılır (tercih sırasına göre) ve ana mod anlaşmaları sırasında IPsec eşlerinin kimlik doğrulaması için kullanılır. Kullanılabilir kimlik doğrulama yöntemleri, Kerberos V5 kimlik doğrulama protokolü, belirli bir sertifika yetkilisinden (CA) verilen bir sertifikanın veya önceden paylaşılan anahtarın kullanılmasıdır. Kimlik doğrulama verileri, bir IPsec ilkesinde yer alan IPsec kuralının özelliklerinde, Kimlik Doğrulama Yöntemleri sekmesinden yapılandırılır. Daha fazla bilgi için, bkz. IPsec Kimlik Doğrulaması.
Tünel sonu noktası
Trafiğin tünelden geçip geçmeyeceğini, geçecekse tünel sonu noktasının IP adresini belirtir. Giden trafik için, tünel bitiş noktası IPsec tünel eşinin IP adresidir. Gelen trafik için, tünel sonu noktası yerel bir IP adresidir. Tünel bitiş noktası, bir IPsec ilkesinde yer alan IPsec kuralının özelliklerinde, Tünel Ayarları sekmesinden yapılandırılır. Trafiğin yol alacağı her yön için bir tane olmak üzere iki tünel kuralı oluşturmalısınız. Daha fazla bilgi için, bkz: IPsec Tünel Ayarları.
Bağlantı türü
Kuralın yerel ağ (LAN) bağlantılarına mı, uzak bağlantılara mı yoksa her ikisine birden mi uygulanacağını belirler. Bağlantı türü, bir IPsec ilkesinde yer alan bir IPsec kuralının özelliklerinde, Bağlantı Türü sekmesinden yapılandırılır. Daha fazla bilgi için, bkz. IPsec Bağlantı Türü.
Varsayılan yanıt kuralı
Varsayılan yanıt kuralı, bilgisayarların güvenli iletişim isteklerine yanıt vermesini sağlamak için kullanılır. Etkin bir ilkenin, güvenli iletişim isteyen tanımlanmış bir kuralı yoksa, varsayılan yanıt kuralı uygulanır ve varsayılan yanıt kuralı etkinleştirildiyse, güvenlik üzerinde anlaşılır. Örneğin, A Bilgisayarı, B Bilgisayarıyla güvenli bir iletişim kurduğunda, B Bilgisayarının A Bilgisayarı için tanımlanmış bir gelen filtresi yoksa, varsayılan yanıt kuralı kullanılır.
Tüm ilkeler için kullanılabilecek varsayılan yanıt kuralı silinemez, ancak devre dışı bırakılabilir. IP Güvenlik İlkesi Sihirbazı ile yeni IPsec ilkeleri oluşturduğunuzda bunu etkinleştirme seçeneğiniz vardır.
Not | |
Windows Vista® veya sonraki bir Windows sürümünü çalıştıran bilgisayara atanacak ilkede varsayılan yanıt kuralı yok sayılır. |
Varsayılan yanıt kuralı için kimlik doğulama yöntemleri ile güvenlik yöntemleri yapılandırılabilir. <Dinamik> filtre listesi, filtre listesinin yapılandırılmadığını, ancak IKE anlaşma paketleri alınınca filtrelerin otomatik olarak oluşturulacağını gösterir. Varsayılan Yanıt filtre eylemi, filtre eyleminin (İzin Ver, Önle veya Güvenlik Anlaşması) yapılandırılamayacağını gösterir.