快速模式(也称为第 2 阶段)IKE 协商在两台计算机之间建立了一个用来保护数据的安全通道。由于此阶段包括建立代表 IPSec 服务进行协商的安全关联 (SA),因此在快速模式过程中创建的 SA 称为 IPSec SA。在快速模式过程中,将刷新密钥材料,或者如有必要,将生成新的密钥。并且将选择用于保护指定 IP 通信的保护套件。保护套件,是数据完整性或数据加密设置的已定义的集合。由于快速模式依赖于主模式交换,因此不认为快速模式是完整的交换。
监视快速模式 SA 能够提供有关此计算机当前连接了哪些对等计算机和使用哪个保护套件形成 SA 的信息,以及其他信息。
普通筛选器
普通筛选器,是配置为使用任何 IP 地址选项作为源地址或目标地址的 IP 筛选器。此外,IPSec 还允许您在筛选器的配置中使用关键字,如“我的 IP 地址”、“DNS 服务器”、“DHCP 服务器”、“WINS 服务器”和“默认网关”。使用关键字时,普通筛选器将在“IP 安全监视”管理单元中显示关键字。通过将关键字扩展为 IP 地址,可从普通筛选器派生出特定筛选器。
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “名称”。
- “源”。这是数据包源的 IP 地址。
- “目标”。这是数据包目标的 IP 地址。
- “源端口”。这是数据包源的 TCP 或 UDP 端口。
- “目标端口”。这是数据包目标的 TCP 或 UDP 端口。
- “源隧道终结点”。这是最接近本地计算机的隧道终结点(如果已指定)。
- “目标隧道终结点”。这是最接近目标计算机的隧道终结点(如果已指定)。
- “协议”。这是在筛选器中指定的协议。
- “入站操作”。这表明是允许或阻止入站通信,或是使用协商安全操作。
- “出站操作”。这表明是允许或阻止出站通信,或是使用协商安全操作。
- “协商策略”。这是快速模式协商策略的名称,或加密设置。
- “连接类型”。这是将应用此筛选器的连接类型,可以是局域网 (LAN)、远程访问或所有网络连接类型。
特定筛选器
特定筛选器,是通过使用源计算机或目标计算机进行实际连接的 IP 地址,从普通筛选器进行扩展而得到的筛选器。例如,如果您的筛选器使用“我的 IP 地址”选项作为源地址,使用“DHCP 服务器”选项作为目标地址,则使用此筛选器形成连接时,将自动创建一个具有计算机 IP 地址以及该计算机所使用 DHCP 服务器 IP 地址的筛选器。
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “名称”。
- “源”。这是数据包源的 IP 地址。
- “目标”。这是数据包目标的 IP 地址。
- “源端口”。这是数据包源的 TCP 或 UDP 端口。
- “目标端口”。这是数据包目标的 TCP 或 UDP 端口。
- “源隧道终结点”。这是最接近本地计算机的隧道终结点(如果已指定)。
- “目标隧道终结点”。这是最接近目标计算机的隧道终结点(如果已指定)。
- “协议”。这是在筛选器中指定的协议。
- “入站操作”。这表明是允许或阻止入站通信,或是使用协商安全操作。
- “出站操作”。这表明是允许或阻止出站通信,或是使用协商安全操作。
- “协商策略”。这是快速模式协商策略的名称,或加密设置。
- “权重”。这是 IPSec 服务给予筛选器的优先级。权重由许多因素派生而来。有关筛选器权重的详细信息,请参阅
https://go.microsoft.com/fwlink/?LinkId=62212 (可能为英文网页)。
注意 在运行 Windows Vista(R)、Windows Server(R) 2008 或更新版本的 Windows 的计算机上,权重属性始终设置为 0。
协商策略
协商策略,是两台对等计算机在快速模式协商过程中,同意在互相进行通信时使用的安全方法首选顺序。
统计信息
下表显示了“快速模式统计信息”视图中提供的统计信息:
IPSec 统计信息 | 描述 |
---|---|
活动安全关联 | 这是活动 IPSec SA 的数目。 |
已卸载的安全关联 | 这是卸载到硬件上的活动 IPSec SA 的数目。 |
挂起的密钥操作 | 这是正在进行的 IPSec 密钥操作的数目。 |
添加密钥 | 这是成功的 IPSec SA 协商的总数。 |
删除密钥 | 这是 IPSec SA 删除密钥的数目。 |
重新生成密钥 | 这是 IPSec SA 重新生成密钥操作的次数。 |
活动隧道 | 这是活动 IPSec 隧道的数目。 |
损坏的 SPI 数据包 | 这是安全参数索引 (SPI) 不正确的数据包的总数。SPI 用于将入站数据包与 SA 相匹配。如果 SPI 不正确,可能意味着入站 SA 已经到期,并且使用旧 SPI 的数据包最近已经到达。如果重新生成密钥的时间间隔很短,并且有大量的 SA,则此数目可能会增加。因为 SA 在正常情况下到期,所以损坏的 SPI 数据包不一定意味着 IPSec 会失败。 |
未解密的数据包 | 这是解密失败的数据包的总数。此失败可能表明数据包到达并且 SA 已过期。如果 SA 过期,还会删除用于解密数据包的会话密钥。这未必表明 IPSec 会失败。 |
未经验证的数据包 | 这是无法为其验证数据的数据包的总数。此失败很可能是由已过期的 SA 造成的。 |
具有重放检测的数据包 | 这是包含有效序列号字段的数据包的总数。 |
发送的机密字节 | 这是使用 ESP 协议发送的字节总数。 |
接收的机密字节 | 这是使用 ESP 协议接收的字节总数。 |
发送的经过验证的字节 | 这是使用 AH 协议发送的字节总数。 |
接收的经过验证的字节 | 这是使用 AH 协议接收的字节总数。 |
发送的传输字节 | 这是使用 IPSec 传输模式发送的字节总数。 |
接收的传输字节 | 这是使用 IPSec 传输模式接收的字节总数。 |
隧道中发送的字节 | 这是使用 IPSec 隧道模式发送的字节总数。 |
隧道中接收的字节 | 这是使用 IPSec 隧道模式接收的字节总数。 |
发送的卸载字节 | 这是使用硬件卸载发送的字节总数。 |
接收的卸载字节 | 这是使用硬件卸载接收的字节总数。 |
注意 | |
某些统计信息可以用于检测试图对网络进行的攻击。 |
安全关联
此视图将显示此计算机的活动 SA。SA 是协商密钥、安全协议与 SPI 的组合,它们共同定义用于保护从发送方到接收方的通信的安全性。因此,通过查看此计算机的安全关联,可以确定哪些计算机连接到此计算机,哪种类型的数据完整性和加密用于此连接,以及其他信息。
此信息在您测试 IPSec 策略以及对访问问题进行疑难解答时将十分有用。
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “本机”。这是本地计算机的 IP 地址。
- “对等机”。这是远程计算机的 IP 地址。
- “协议”。这是在筛选器中指定的协议。
- “本机端口”。这是在筛选器中指定的本地计算机的 TCP 或 UDP 端口。
- “对等机端口”。这是在筛选器中指定的远程计算机的 TCP 或 UDP 端口。
- “协商策略”。这是快速模式协商策略的名称,或加密设置。
- “AH 完整性”。这是用于对等通信的 AH 协议特定的数据完整性方法。
- “ESP 保密性”。这是用于对等通信的 ESP 协议特定的加密方法。
- “ESP 完整性”。这是用于对等通信的 ESP 协议特定的数据完整性方法。
- “本机隧道终结点”。这是最接近本地计算机的隧道终结点(如果已指定)。
- “对等机隧道终结点”。这是最接近本地计算机的隧道终结点(如果已指定)。