IPSec 是一种开放标准的框架结构,它通过使用加密安全服务来确保 IP 网络上保密安全的通信。Microsoft Windows 的 IPSec 执行基于由 Internet 工程任务组 (IETF) IPSec 工作组开发的标准。
IPsec 可建立从源 IP 地址到目标 IP 地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒体不安全,因此在各自的终端上处理安全性。除非在两台计算机之间执行防火墙类型的数据包筛选或网络地址转换 (NAT),否则不要求仅从源向目标路由数据的计算机支持 IPSec。
可以使用 IP 安全策略管理单元在本地计算机和远程计算机上创建、编辑和分配 IPSec 策略。
 | 注意 |
本文档用于提供了解和使用 IP 安全策略管理单元的足够信息。本文档不包括有关设计和部署策略的信息。 |
有关 IPSec 策略
IPSec 策略用于配置 IPSec 安全服务。这些策略可为大多数现有网络中的大多数通信类型提供各种级别的保护。可以根据计算机、组织单位 (OU)、域、站点或全球性企业的安全需要来配置 IPSec 策略。您可以使用此版本 Windows 中提供的“IP 安全策略”管理单元,通过组策略对象(适用于域成员)或在本地计算机上定义计算机的 IPSec 策略,也可定义适用于远程计算机的 IPSec 策略。
 | 重要 |
“IP 安全策略”管理单元可用于创建 IPSec 策略,这类策略可应用于运行 Windows Vista 和更高版本 Windows 的计算机,但是此管理单元不使用新的安全算法以及 Windows Vista 或更高版本 Windows 中所提供的其他新功能。若要为这些计算机创建 IPsec 策略,请使用 高级安全 Windows 防火墙 管理单元。高级安全 Windows 防火墙 管理单元创建的策略不能应用于较早版本的 Windows。 |
IPSec 策略由常规 IPSec 策略设置和规则组成。常规 IPSec 策略设置应用而不考虑配置规则的类型。这些设置决定策略名称、其管理目的描述、密钥交换设置以及密钥交换措施。一个或多个 IPSec 规则决定了 IPSec 必须检查的通信类型、处理通信的方式、验证 IPSec 对等端及其他设置的身份的方式。
创建策略之后,可以在域、站点、OU 和本地级别应用这些策略。一台计算机上每次只能有一个策略处于活动状态。使用组策略对象分发和应用的策略可替代本地策略。
IPSec 策略管理单元任务
本部分包括使用 IP 安全策略管理单元可以执行的一些最常见的任务。
创建策略
除非仅希望在一台计算机及其 IPSec 对等端上创建策略,否则可能需要创建 IPSec 策略集以符合 IT 环境。设计、创建和部署策略的过程可能很复杂,这取决于域的大小、域中计算机的相似性以及其他因素。
通常,此过程包括以下步骤:
- 创建与环境中的计算机、子网和状态匹配的 IP 筛选器列表。
- 创建与要进行身份验证的连接方式、要应用的数据完整性以及要加密的数据对应的筛选器操作。无论其他标准如何,都可以“阻止”或“许可”筛选器操作。“阻止”操作优先于其他操作。
- 创建与需要的筛选操作和筛选器操作(安全)要求匹配的策略集。
- 首先,部署使用“许可”和“阻止”筛选器操作的策略,然后监视 IPSec 环境中可能需要对这些策略进行调整的问题。
- 部署将“协商安全”筛选器操作与带有回退清除文本通信的选项一同使用的策略。这允许您在不中断通信的情况下测试环境中的 IPSec 操作。
- 只要已经对策略做过任何需要的优化,就可在适当的位置删除回退清除文本通信操作。这将造成策略在可以创建连接之前需要进行身份验证和安全设置。
- 监视环境中未发生的通信,这可能由主模式协商失败统计中的突然增长来表示。
 | 创建新 IPSec 策略的步骤: |
右键单击 IP 安全策略节点,然后单击“创建 IP 安全策略”。
在 IP 安全策略向导中,单击“下一步”。
键入策略的名称和描述(可选),然后单击“下一步”。
选中“激活默认响应规则”复选框或者将其处于未选中状态,然后单击“下一步”。
注意 默认响应规则只能用于在 Windows XP 和 Windows Server 2003 以及更早版本中应用的策略。更新版本的 Windows 不能使用默认响应规则。
如果要使用默认响应规则,请选择身份验证方法,然后单击“下一步”。
有关默认响应规则的详细信息,请参阅 IPSec 规则。
选中“编辑属性”复选框,然后单击“下一步”。可以按需要将规则添加到策略。
添加或更改策略规则
| 添加策略规则的步骤: |
右键单击 IPSec 策略,然后单击“属性”。
如果要在属性对话框中创建规则,请清除“使用添加向导”复选框。若要使用向导,请选中此复选框。单击“添加”。以下是有关使用对话框创建规则的说明。
在“新建规则属性”对话框中的“IP 筛选器列表”选项卡上,选择适当的筛选器列表,或单击“添加”以添加一个新筛选器列表。如果已经创建筛选器列表,则将在“IP 筛选器列表”列表中显示这些列表。有关创建和使用筛选器列表的详细信息,请参阅筛选器列表。
注意 一个规则仅可使用一个筛选器列表。
在“筛选器操作”选项卡上,选择适当的筛选器操作,或单击“添加”添加新的筛选器操作。有关创建和使用筛选器操作的详细信息,请参阅筛选器操作。
注意 一个规则仅可使用一个筛选器操作。
在“身份验证方法”选项卡上,选择适当的方法,或单击“添加”来添加新方法。有关创建和使用身份验证方法的详细信息,请参阅 IPSec 身份验证。
注意 一个规则可以使用多个方法。按照方法在列表中的显示顺序尝试这些方法。如果指定使用这些证书,请在列表中将其按照要使用的顺序排列在一起。
在“连接类型”选项卡上,选择规则应用的连接类型。有关连接类型的详细信息,请参阅 IPSec 连接类型。
如果要使用隧道,请在“隧道设置”选项卡上指定终结点。默认情况下,未使用任何隧道。有关使用隧道的详细信息,请参阅 IPSec 隧道设置。无法镜像隧道规则。
完成所有设置之后,单击“确定”。
| 更改策略规则的步骤: |
右键单击 IPSec 策略,然后单击“属性”。
在“策略属性”对话框中选择规则,然后单击“编辑”。
在“编辑规则属性”对话框中的“IP 筛选器列表”选项卡上,选择适当的筛选器列表,或单击“添加”来添加新的筛选器列表。有关创建和使用筛选器列表的详细信息,请参阅筛选器列表。
注意 一个规则仅可使用一个筛选器列表。
在“筛选器操作”选项卡上,选择适当的筛选器操作,或单击“添加”来添加新的筛选器列表。有关创建和使用筛选器操作的详细信息,请参阅筛选器操作。
注意 一个规则仅可使用一个筛选器操作。
在“身份验证方法”选项卡上,选择适当的方法,或单击“添加”来添加新的方法。有关创建和使用身份验证方法的详细信息,请参阅 IPSec 身份验证。
注意 一个规则可以使用多个方法。按照方法在列表中的显示顺序尝试这些方法。
在“连接类型”选项卡上,选择规则应用的连接类型。有关连接类型的详细信息,请参阅 IPSec 连接类型。
如果要使用隧道,请在“隧道设置”选项卡上指定终结点。默认情况下,未使用任何隧道。有关使用隧道的详细信息,请参阅 IPSec 隧道设置。
完成所有设置之后,单击“确定”。
分配策略
| 将策略分配给此计算机的步骤: |
右键单击策略,然后单击“分配”。
注意 - 一台计算机上每次只能分配一个策略。分配其他策略将自动取消当前已分配的策略。域上的组策略可以将其他策略分配给此计算机,并可忽略本地策略。
- 若要成功分配计算机到计算机 IPSec 策略,必须在其他计算机上创建镜像策略,并将此策略分配给此计算机。
- 若要将此策略分配给多个计算机,请使用组策略。