使用此对话框可以配置协商快速模式安全关联时可用的数据完整性算法提供。必须指定用于保护网络数据包中数据完整性的协议和算法。

Internet 协议安全性 (IPsec) 通过计算从网络数据包中的数据生成的哈希提供完整性。然后对该哈希进行加密签名(加密)并将其嵌入 IP 数据包。接收计算机会使用相同算法计算哈希,并将其结果与嵌入已接收数据包的哈希进行比较。如果匹配,则接收的信息与发送的信息完全相同,因此接受数据包。如果不匹配,则丢弃该数据包。

对传输的消息使用加密哈希使得无法通过计算来更改消息而不导致哈希不匹配。当通过不安全的网络(如 Internet)交换数据时这很关键,因为它提供了解传输期间未更改消息的方法。

如何打开此对话框
  1. 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”

  2. 单击“IPsec 设置”选项卡。

  3. “IPsec 默认值”下,单击“自定义”

  4. “数据保护(快速模式)”下选择“高级”,然后单击“自定义”

  5. “数据完整性”下,从列表中选择一种算法组合,然后单击“编辑”“添加”

协议

下列协议用于将完整性信息嵌入 IP 数据包。

ESP(推荐)

ESP 为 IP 负载提供身份验证、完整性和抗重播保护。传输模式中使用的 ESP 不会对整个数据包进行签名。只对 IP 负载(而不对 IP 标头)进行保护。ESP 可以独立使用,也可与 AH 组合使用。对于 ESP,哈希计算只包括 ESP 标头、尾端和负载。ESP 可以通过用多种支持的加密算法之一加密 ESP 负载来有选择性地提供数据机密性服务。数据包重播服务是通过包括每个数据包的序号提供的。

AH

AH 为整个数据包(IP 标头与数据包中的数据负载)提供身份验证、完整性与抗重播功能。它不提供机密性,即它不对数据进行加密。数据可以读取,但是禁止修改。从哈希计算中排除某些允许在传输中更改的字段。数据包重播服务是通过包括每个数据包的序号提供的。

重要

AH 协议与网络地址转换 (NAT) 不兼容,因为 NAT 设备更改某些包含在完整性哈希中的数据包标头中的信息。若要允许基于 IPSec 的流量通过 NAT 设备,必须使用 ESP 并确保 IPSec 对等计算机上启用了 NAT 遍历 (NAT-T)。

空封装

空封装指定您不希望对网络流量使用任何完整性或加密保护。仍要根据连接安全规则的要求执行身份验证,但不会向通过此安全关联交换的网络数据包提供任何其他保护。

安全 注意

由于此选项不提供任何种类的完整性或保密性保护,建议仅在必须支持与 ESP 或 AH 不兼容的软件或网络设备时使用该选项。

算法

下列完整性算法可用于运行此版本 Windows 的计算机。其中某些算法在运行其他版本 Windows 的计算机上不可用。如果必须与运行早期版本 Windows 的计算机建立受 IPsec 保护的连接,则必须包含与该早期版本兼容的算法选项。

有关详细信息,请参阅 Windows 中支持的 IPsec 算法和方法 (https://go.microsoft.com/fwlink/?LinkID=129230)(可能为英文网页)。

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    小心

    不再认为 MD5 是安全的,仅应在用于测试或远程计算机无法使用更安全的算法时使用该算法。此算法仅为实现向后兼容而提供。

密钥生存期

生存期设置决定何时生成新密钥。在指定的时间间隔后或传输指定的数据量后,密钥生存期允许强制生成新密钥。例如,如果通信持续 100 分钟,而指定的密钥生存期为 10 分钟,则在交换过程中将生成 10 个密钥(每 10 分钟一个)。使用多个密钥可确保即使攻击者获得了一部分通信的密钥,也不会危及整个通信安全。

注意

此密钥重新生成仅适用于快速模式数据完整性。这些设置不影响主模式密钥交换的密钥生存期设置。

分钟

使用此设置可以配置在快速模式安全关联中使用密钥的持续时间(以分钟为单位)。此间隔过后,将生成新密钥。随后的通信将使用新密钥。

最长生存期为 2,879 分钟(48 小时)。最短生存期为 5 分钟。建议您按照风险分析要求的频率重新生成密钥。过度频繁地重新生成密钥可能会影响性能。

KB

使用此设置可以配置使用密钥发送的数据量(以千字节 (KB) 为单位)。达到这个阈值后,计数器被重置,然后重新生成密钥。随后的通信将使用新密钥。

最长生存期为 2,147,483,647 KB。最短生存期为 20,480 KB。建议您按照风险分析要求的频率重新生成密钥。过度频繁地重新生成密钥可能会影响性能。

请参阅


目录