如果连接安全规则用于将成为专用网络上计算机的本地隧道终结点(网关)的计算机,请选择“隧道类型”页的“网关到客户端”。可以使用此页配置远程客户端的 IP 地址,远程客户端可以建立指向此网关和专用网络上网关后面的计算机的隧道。
下图显示了可以使用此向导页配置的组件。
 | 打开此向导页的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”。
在“规则类型”页,选择“隧道”。
在“步骤”中单击“隧道类型”,然后选择“网关到客户端”。
单击“下一步”,直到到达“隧道终结点”页。
什么是本地终结点?
本地终结点是网关后面专用网络上的计算机,这些计算机必须可以通过隧道向远程客户端发送数据,并从中接收数据。单击“添加”可以使用“IP 地址”对话框添加单个 IP 地址、IP 子网地址、IP 地址范围或预定义计算机集。若要更改列表中的某个条目,请选择该项目,然后单击“编辑”。若要删除某项,请选择该项目,然后单击“删除”。
 | 注意 |
本地终结点指 Netsh 命令行工具中“IPsec 隧道设置”对话框上的终结点 1(如果选择“隧道类型”页上的“自定义配置”)。 |
网关
本地隧道终结点是远程客户端向其发送数据包的计算机,这些数据包发到终结点 1 中的计算机。本地隧道计算机接收来自远程客户端的网络数据包,解封原始数据包,然后将其路由到终结点 1 中的目标计算机。您可以指定 Internet 协议版本 4 (IPv4) 地址、Internet 协议版本 6 (IPv6) 地址,或两者同时指定。
| 注意 |
隧道每一端的 IP 版本地址必须匹配。例如,如果您在一端指定 IPv4 地址,则另一端也必须具有 IPv4 地址。可以同时指定 IPv4 和 IPv6 地址,但如果在一端执行此操作,则必须也在另一端执行此操作。此外,您必须为远程隧道终结点(网关)和该网关后面的远程终结点指定相同版本的 IP。 |
客户端
此选项设置为“任何 IP 地址”,且无法更改。这种情况中的客户端计算机既是远程隧道终结点,也是终结点 2 中的唯一计算机。
如何更改这些设置
创建连接安全规则后,可以在“连接安全规则属性”对话框中更改这些设置。双击“连接安全规则”中的某个规则时会打开此对话框。若要更改本地隧道终结点后面可访问的计算机,请使用“计算机”选项卡,并配置“终结点 1”的设置。若要更改本地隧道终结点(网关),请从“IPsec 隧道”下的“高级”选项卡单击“自定义”,然后更改“本地隧道终结点”。