主模式 Internet 密钥交换 (IKE) 协商在两台计算机之间建立了一个安全通道,称为 Internet 安全关联和密钥管理协议 (ISAKMP) 安全关联 (SA)。ISAKMP SA 用于保护对等计算机之间的后续密钥交换,称为快速模式协商。若要建立安全通道,主模式协商将确定一个加密保护套件集,交换建立共享机密密钥的密钥材料,并验证计算机标识。
监视主模式 SA 能够提供有关此计算机当前连接了哪些对等计算机、何时形成 SA 和使用哪个保护套件形成 SA 的信息,以及其他信息。
普通筛选器
普通筛选器,是配置为使用任何 IP 地址选项作为源地址或目标地址的 IP 筛选器。IPSec 允许您在筛选器的配置中使用关键字,如“我的 IP 地址”、“DNS 服务器”、“DHCP 服务器”、“WINS 服务器”和“默认网关”。使用关键字时,普通筛选器将在“IP 安全监视”管理单元中显示关键字。通过将关键字扩展为 IP 地址可派生出特定筛选器。
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “名称”。
- “源”。这是数据包源的 IP 地址。
- “目标”。这是数据包目标的 IP 地址。
- “IKE 策略”。这是与此普通筛选器关联的 IKE 策略的名称,而不是使用“IPSec 策略”管理单元创建的 IPSec 策略的名称。可以在“IKE 策略”项中查看这类策略的详细信息,如使用哪一组加密算法。
- “身份验证方法”。这是可用于筛选器的所有身份验证方法的列表(按照首选顺序排列)。
- “连接类型”。这是将应用此筛选器的连接类型,可以是局域网 (LAN)、远程访问或所有网络连接类型。
特定筛选器
特定筛选器,是通过使用源计算机或目标计算机进行实际连接的 IP 地址,从普通筛选器进行扩展而得到的筛选器。例如,如果您的筛选器使用“我的 IP 地址”选项作为源地址,使用“DHCP 服务器”选项作为目标地址,则使用此筛选器形成连接时,将自动创建一个具有计算机 IP 地址以及该计算机所使用 DHCP 服务器 IP 地址的筛选器。
 | 注意 |
“IP 安全监视器”管理单元还可以将 IP 地址解析为“快速模式”文件夹(而非“主模式”文件夹)中“特定筛选器”文件夹的 DNS 名称。 |
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “名称”。
- “源”。这是数据包源的 IP 地址。
- “目标”。这是数据包目标的 IP 地址。
- “方向”。此列指定筛选器是入站筛选器还是出站筛选器。
- “IKE 策略”。这是 IKE 策略的名称,而不是使用“IPSec 策略”管理单元创建的 IPSec 策略的名称。可以在“IKE 策略”项中查看这类策略的详细信息,如使用哪一组加密算法。
- “身份验证方法”。这是可用于筛选器的所有身份验证方法的列表(按照首选顺序排列)。
- “权重”。这是 IPSec 服务给予筛选器的优先级。权重由许多因素派生而来。有关筛选器权重的详细信息,请参阅
https://go.microsoft.com/fwlink/?LinkId=62212 (可能为英文网页)。
注意 在运行 Windows Vista(R)、Windows Server(R) 2008 或更新版本的 Windows 的计算机上,权重属性始终设置为 0。
IKE 策略
IKE 策略是指,两台对等计算机能够协商主模式密钥交换的完整性或加密方法。
统计信息
下表显示了“主模式统计信息”视图中提供的统计信息:
| 注意 |
其中某些统计信息不适用于运行 Windows Vista、Windows Server 2008 或更高版本 Windows 的计算机。 |
| IKE 统计信息 | 描述 |
|---|---|
活动捕获 | 捕获,是 IPSec 驱动程序让 IKE 执行任务的请求。活动捕获统计信息包括未完成的请求和等待的请求数(如果存在)。通常,活动捕获数为 1。在重负载下,活动捕获数是 1,并且 IKE 要求等待以进行处理的请求数将增加。 |
活动接收 | 已接收到的等待处理的 IKE 消息的数目。 |
捕获失败 | 捕获失败的次数。 |
接收失败 | 接收 IKE 消息时,Windows 套接字 WSARecvFrom() 函数失败的次数。 |
发送失败 | 发送 IKE 消息时,Windows 套接字 WSASendTo() 函数失败的次数。 |
捕获堆大小 | 存储活动捕获的捕获堆中的项目数。该数目在重负载下会增加,然后随着时间的推移而逐渐减少直至清空捕获堆。 |
接收堆大小 | 用于传入的 IKE 消息的 IKE 接收缓冲区中的条目数。 |
身份验证失败 | 主模式协商过程中出现的标识验证失败(Kerberos、证书与预共享密钥)的总数。如果在进行安全通信时遇到困难,请尝试进行通信并参考此统计信息以查看此数目是否增加。如果此数目增加,则请检查身份验证设置,以查看是否有不匹配的身份验证方法或不正确的身份验证方法配置(例如,使用了不匹配的预共享密钥)。 |
协商失败 | 在“主模式”或“快速模式”协商过程中出现的协商失败的总次数。如果在进行安全通信时遇到困难,请尝试进行通信并参考此统计信息以查看此数目是否增加。如果此数目增加,则请检查身份验证设置与安全方法设置,以查看是否有不匹配的身份验证方法、不正确的身份验证方法配置(例如,使用了不匹配的预共享密钥)或不匹配的安全方法或设置。 |
接收到无效 Cookie | Cookie 是接收的 IKE 消息中包含的一个值,IKE 将其用于查找活动主模式的状态。不能与活动主模式匹配的接收的 IKE 消息中的 Cookie 是无效的。 |
捕获总数 | IKE 向 IPSec 驱动程序提交的工作请求总数。 |
Get SPI 总数 | IKE 向 IPSec 驱动程序提交的用来获取唯一的安全参数索引 (SPI) 的请求总数。 |
添加密钥 | IKE 向 IPSec 驱动程序添加的出站快速模式 SA 的数目。 |
密钥更新 | IKE 向 IPSec 驱动程序添加的入站快速模式 SA 的数目。 |
Get SPI 失败 | IKE 向 IPSec 驱动程序提交的用来获取唯一 SPI 的失败请求的数目。 |
添加密钥失败 | IKE 向 IPSec 驱动程序提交的出站快速模式 SA 添加请求失败的数目。 |
密钥更新失败 | IKE 向 IPSec 驱动程序提交的入站快速模式 SA 添加请求失败的数目。 |
ISADB 列表大小 | 主模式状态条目(包括已协商的主模式、进行中的主模式以及失败后尚未删除的主模式)数。 |
连接列表大小 | 快速模式状态条目的数目。 |
IKE 主模式 | 主模式协商过程中创建的成功 SA 的总数。 |
IKE 快速模式 | 快速模式协商过程中创建的成功 SA 的总数。因为通常为每个主模式 SA 创建了多个快速模式 SA,所以该数目不需要与主模式数目匹配。 |
软关联 | 导致使用明文(也称为软 SA)的协商总数。这通常反映通过未响应到主模式协商尝试的计算机而形成的关联数。这可以同时包括不与 IPSec 兼容的计算机,以及虽然与 IPSec 兼容,但没有 IPSec 策略来与此 IPSec 对等计算机协商安全的计算机。尽管软 SA 不是主模式和快速模式协商的结果,但仍将其视为快速模式 SA。 |
接收到无效的数据包 | 接收到的无效 IKE 消息的数目,其中包括具有无效标头字段的 IKE 消息、不正确的负载长度以及回应者 Cookie 的错误值(如果该值应设为 0)。无效 IKE 消息通常是由旧的重新传输的 IKE 消息或 IPSec 对等计算机之间的预共享密钥不匹配造成的。 |
| 注意 |
某些统计信息可以用于检测试图对网络进行的攻击。 |
安全关联
此视图将显示此计算机的活动 SA。SA 是协商密钥、安全协议与 SPI 的组合,它们共同定义用于保护从发送方到接收方的通信的安全性。因此,通过查看此计算机的安全关联,可以确定哪些计算机连接到此计算机,哪种类型的数据完整性和加密用于此连接,以及其他信息。
此信息在您测试 IPSec 策略以及对访问问题进行疑难解答时将十分有用。
添加、删除以及排序列
可以在结果窗格中对以下列进行添加、删除、重新排列和排序操作:
- “本机”。这是本地计算机 IP 地址。
- “本机 ID”。这是本地计算机 DNS 名称。
- “对等机”。这是远程计算机或对等计算机 IP 地址。
- “对等机 ID”。这是远程计算机或对等计算机 DNS 名称。
- “身份验证”。这是创建 SA 时使用的身份验证方法。
- “加密”。这是由 SA 进行快速模式密钥交换所使用的加密方法。
- “完整性”。这是由 SA 进行快速模式密钥交换所使用的数据完整性方法。
- Diffie-Hellman。这是用于创建主模式 SA 的 Diffie-Hellman 组。