IPsec 隧道模式主要用来与不支持第二层隧道协议 (L2TP)/Internet 协议安全 (IPsec) 或点到点隧道协议 (PPTP) VPN 隧道的路由器、网关或终端系统进行相互操作。只有在网关到网关隧道方案和某些服务器到服务器或服务器到网关配置中才支持 IPSec 隧道模式。对于远程访问 VPN 方案,不支持 IPSec 隧道模式。远程访问 VPN 连接时,应当使用 L2TP/IPSec 或 PPTP。
必须在连接的两端定义 IPsec 隧道。在每一端,必须交换本地隧道计算机与远程隧道计算机的入口(因为位于隧道一端处的本地计算机是位于该隧道另一端处的远程计算机,反之亦然)。
使用高级安全 Windows 防火墙对无法使用 L2TP 的方案执行第三层隧道。如果使用 L2TP 进行远程通讯,则不需要 IPsec 隧道配置,因为此版本 Windows 的客户端和服务器 VPN 组件会自动创建规则以确保 L2TP 通信的安全。
使用此向导页可以配置要创建的 IPsec 隧道类型。IPsec 隧道通常用于将网关后面的专用网络连接到使用另一个专用网络的远程客户端或远程网关。IPsec 隧道模式通过封装某个 IPsec 保护的数据包内的整个数据包,然后在隧道终结点之间路由 IPsec 保护的数据包来保护数据包。当数据包到达目标终结点时,系统会提取数据包,然后路由到其最终目标位置。
 | 打开此向导页的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”。
在“规则类型”页,选择“隧道”。
在“步骤”中选择“隧道类型”。
自定义配置
选择此选项可以启用“隧道终结点 – 自定义配置”页上的所有终结点配置选项。您可以指定作为隧道终结点的计算机和位于每个隧道终结点后面专用网络上的计算机的 IP 地址。有关详细信息,请参阅连接安全规则向导:隧道终结点页 - 自定义配置。
客户端到网关
如果您希望为必须连接到远程网关的客户端计算机和专用网络上网关后面的计算机创建规则,请选择此选项。
客户端向远程专用网络上的计算机发送网络数据包时,IPsec 会将数据包嵌入到发到远程网关地址的 IPsec 数据包内。网关提取数据包,然后在专用网络上将其路由到目标计算机。
如果选择此选项,则只能配置网关计算机的公共 IP 地址和专用网络上计算机的 IP 地址。有关详细信息,请参阅连接安全规则向导:隧道终结点页 - 客户端到网关。
网关到客户端
如果希望为连接到专用网络和公用网络(从远程客户端接收网络流量)的网关计算机创建规则,请选择此选项。
客户端向专用网络上的计算机发送网络数据包时,IPsec 会将数据包嵌入到发到此网关计算机的公共 IP 地址的 IPsec 数据包内。网关计算机接收数据包时,会提取数据包,然后在专用网络上将其路由到目标计算机。
远程专用网络上的计算机需要回复客户端计算机时,会将数据包路由到网关计算机。网关计算机将数据包嵌入到发到远程客户端计算机 IPsec 数据包内,然后在公用网络上将 IPsec 数据包路由到远程客户端计算机。
如果选择此选项,则只能配置专用网络上计算机的 IP 地址和网关计算机的公共 IP 地址。有关详细信息,请参阅连接安全规则向导:隧道终结点页 - 网关到客户端。
免除 IPSec 保护的连接
有时网络数据包可能匹配多个连接安全规则。如果其中一个规则建立 IPsec 隧道,可以选择使用该隧道还是将数据包发送到受其他规则保护的隧道之外。
是
如果连接已经受其他连接安全规则保护,且您不希望网络数据包通过 IPsec 隧道,请选择此选项。阻止受封装式安全措施负载 (ESP) 协议(包括 ESP Null)保护的任何网络流量遍历隧道。
否
如果希望匹配隧道规则的所有网络数据包通过隧道(即使受其他连接安全规则保护),请选择此选项。