使用此对话框可以配置用于所有 IPsec 协商的 Internet 协议安全 (IPsec) 主模式密钥交换和快速模式数据保护设置。还可以配置连接安全规则使用“默认”设置时使用的默认身份验证设置。
 | 重要 |
|
 | 打开此对话框的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元的“概述”中,单击“Windows 防火墙属性”。
单击“IPsec 设置”选项卡。
在“IPsec 默认值”下,单击“自定义”。
密钥交换(主模式)
此处所选择的密钥交换设置应用于所有连接安全规则。为了确保成功和安全的通信,IPsec 执行两阶段操作以在两台计算机之间建立安全的连接。在每一阶段过程中,通过使用安全协商期间两台计算机达成的完整性、加密与身份验证算法可确保实现保密与身份验证。通过在两个阶段分开执行任务,可快速完成密钥创建。
在第一阶段期间,两台计算机建立一种安全的经过身份验证的通道,称为主模式安全关联 (SA)。然后在第二阶段期间使用主模式 SA 来允许快速模式 SA 的安全协商。快速模式 SA 指定匹配两台计算机之间传送的 TCP/IP 数据的保护设置。
默认设置
选择此选项可以使用默认情况下安装的或通过组策略配置为默认值的密钥交换设置。此设置用于所有密钥交换。有关详细信息,请参阅高级安全 Windows 防火墙的默认设置。
高级
选择此选项指定应用于所有密钥交换的密钥交换设置。此设置替代已安装的默认设置。选择此选项后,请单击“自定义”使用“自定义高级密钥交换设置”对话框选择要使用的设置。
数据保护(快速模式)
此处所选择的数据保护设置将应用于所有使用高级安全 Windows 防火墙MMC 管理单元创建的连接安全规则。如果需要创建具有自定义数据保护设置的连接安全规则,则必须使用netsh advfirewall consec上下文创建规则。有关详细信息,请参阅
默认设置
选择此选项可以使用默认情况下安装的或通过组策略配置为默认值的数据完整性和加密设置。有关详细信息,请参阅高级安全 Windows 防火墙的默认设置。
高级
使用此选项可以指定可用于协商快速模式 SA 的数据完整性和加密设置。此设置替代已安装的默认设置。选择此选项后,请单击“自定义”使用“自定义数据保护设置”对话框选择要使用的数据保护设置。
身份验证方法
此处所选择的身份验证方法设置将仅应用于已选定“默认”作为身份验证方法的连接安全规则。
默认设置
选择此选项可以使用默认情况下安装的或通过使用组策略配置为默认值的身份验证设置。有关详细信息,请参阅高级安全 Windows 防火墙的默认设置。
计算机和用户 (Kerberos V5)
选择此选项可以使用带有 Kerberos 版本 5 协议的计算机和用户身份验证。此选项的使用等同于选择“高级”,为第一个身份验证选择“计算机(Kerberos V5)”,为第二个身份验证选择“用户(Kerberos V5)”,然后清除“第一身份验证可选”和“第二身份验证可选”。
计算机 (Kerberos V5)
选择此选项可以使用带有 Kerberos 版本 5 协议的计算机身份验证。此选项的使用等同于选择“高级”,为第一个身份验证选择“计算机(Kerberos V5)”,然后选择“第二身份验证可选”。
用户 (Kerberos V5)
选择此选项可以使用带有 Kerberos 版本 5 协议的用户身份验证。此选项的使用等同于选择“高级”,为第二个身份验证选择“用户(Kerberos V5)”,然后选择“第一身份验证可选”。
高级
可以使用此选项创建特定于您的需要的方法。如果选择此选项,必须单击“自定义”以使用“自定义高级身份验证方法”对话框指定要使用的身份验证方法。