使用此对话框可以配置算法提供,其中包含数据完整性和数据保密性(加密),且在协商快速模式安全关联时可用。必须指定用于保护网络数据包中数据完整性的协议和算法。

Internet 协议安全性 (IPsec) 通过计算从网络数据包中的数据生成的哈希提供完整性。然后对该哈希进行加密签名(加密)并将其嵌入 IP 数据包。接收计算机会使用相同算法计算哈希,并将其结果与嵌入已接收数据包的哈希进行比较。如果匹配,则接收的信息与发送的信息完全相同,因此接受数据包。如果不匹配,则丢弃该数据包。

对传输的消息使用加密哈希使得无法通过计算来更改消息而不导致哈希不匹配。这对于在不安全网络上(如 Internet)交换数据时很关键,且提供了解转换期间未更改消息的方式。

除了完整性保护,此对话框还允许您指定加密算法,该算法有助于在转换期间网络数据包被拦截时无法读取数据。

如何打开此对话框

  1. 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”

  2. 单击“IPsec 设置”选项卡。

  3. “IPsec 默认值”下,单击“自定义”

  4. “数据保护(快速模式)”下选择“高级”,然后单击“自定义”

  5. “数据完整性和加密”下,从列表中选择一种算法组合,单击“编辑”“添加”

协议

下列协议用于将完整性信息和加密信息嵌入到 IP 数据包。

ESP(推荐)

封装安全有效负载 (ESP) 为 IP 有效负载提供机密性(除了身份验证、完整性和抗重播之外)。传输模式中的 ESP 不会对整个数据包进行签名。只对 IP 数据负载(而不对 IP 标头)进行保护。ESP 可以独立使用,也可与身份验证标头 (AH) 组合使用。对于 ESP,哈希计算只包括 ESP 标头、尾端和负载。ESP 可以通过用支持的加密算法之一加密 ESP 负载来提供数据机密性服务。数据包重播服务是通过包括每个数据包的序号提供的。

ESP 和 AH

该选项将 ESP 协议的安全性与 AH 协议组合在一起。AH 为整个数据包(IP 标头与数据包中的数据负载)提供身份验证、完整性与抗重播功能。

重要

AH 协议不与网络地址转换 (NAT) 兼容,因为 NAT 设备需要更改数据包标头中的信息。若要允许基于 IPSec 的流量通过 NAT 设备,必须确保 IPSec 对等计算机支持 NAT 遍历 (NAT-T)。

算法

加密算法

下列加密算法可用于运行此版本 Windows 的计算机。某些这些算法在运行早期版本 Windows 的计算机上不可用。如果必须与运行早期版本 Windows 的计算机建立受 IPsec 保护的连接,则必须包含与该早期版本兼容的算法选项。

有关详细信息,请参阅 Windows 中支持的 IPsec 算法和方法 (https://go.microsoft.com/fwlink/?LinkID=129230)(可能为英文网页)。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

安全 注意

建议不要使用 DES。此算法仅为实现向后兼容而提供。

注意

如果为加密指定 AES-GCM 算法,则必须为完整性指定相同算法。

完整性算法

下列完整性算法可用于运行此版本 Windows 的计算机。其中某些算法在运行其他版本 Windows 的计算机上不可用。如果必须与运行早期版本 Windows 的计算机建立受 IPsec 保护的连接,则必须包含与该早期版本兼容的算法选项。

有关详细信息,请参阅 Windows 中支持的 IPsec 算法和方法 (https://go.microsoft.com/fwlink/?LinkID=129230)(可能为英文网页)。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

安全 注意

建议不要使用 MD5。此算法仅为实现向后兼容而提供。

注意

如果为完整性指定 AES-GCM 算法,则必须为加密指定相同算法。

密钥生存期

生存期设置决定何时生成新密钥。在指定的时间间隔后或传输指定的数据量后,密钥生存期允许强制生成新密钥。例如,如果通信持续 100 分钟,而指定的密钥生存期为 10 分钟,则在交换过程中将生成 10 个密钥(每 10 分钟一个)。使用多个密钥可确保即使攻击者获得了一部分通信的密钥,也不会危及整个通信安全。

注意

此密钥重新生成适用于快速模式数据完整性和加密,且不影响主模式密钥交换的密钥生存期设置。

分钟

使用此设置可以配置在快速模式安全关联中使用密钥的持续时间(以分钟为单位)。在此时间间隔之后,将重新生成密钥。随后的通信将使用新密钥。

最长生存期为 2,879 分钟(48 小时)。最短生存期为 5 分钟。建议您按照风险分析要求的频率重新生成密钥。过度频繁地重新生成密钥可能会影响性能。

KB

使用此设置可以配置使用密钥发送的数据量(以千字节 (KB) 为单位)。达到这个阈值后,计数器被重置,然后重新生成密钥。随后的通信将使用新密钥。

最长生存期为 2,147,483,647 KB。最短生存期为 20,480 KB。建议您按照风险分析要求的频率重新生成密钥。过度频繁地重新生成密钥可能会影响性能。

请参阅

目录