筛选器操作定义数据传输的安全需求。可以在创建策略时或者在创建策略之前定义筛选器操作。筛选器列表可用于任何策略。若要定义筛选器列表,请右键单击 IP 安全策略节点,然后选择“管理筛选器列表和筛选器操作”。
可以将筛选器操作配置为:
允许通信
IPSec 将此通信传送给 TCP/IP 驱动程序或从该驱动程序传送此通信,而不会修改安全性或对安全性有所要求。这适合不支持 IPSec 的计算机发出的通信。确保在使用此类筛选器操作时将 IP 筛选器列表限定在最小范围内,这样就不会允许应受保护的通信。
出于疑难解答需要时,考虑允许 ICMP 通信。此外,可能还需要允许不属于您的域的计算机(例如,某位顾问的计算机)访问您域中的其他计算机。可以使用允许筛选器操作来允许此访问。
重要 | |
允许筛选器操作允许不具有身份验证、数据完整性或加密的访问。使用具有筛选器列表中指定的 IP 地址的计算机的任何人都可被授予访问权限。计算机之间的所有通信都以明文形式完成;不执行完整性检查。 |
阻止通信
IPSec 将自行丢弃已阻止的通信。使用阻止筛选器操作时,请确保使用定义 IP 地址正确范围的 IP 筛选器列表。使用较大范围将增加阻止有效计算机之间通信的可能性。
协商安全
如果启用“接受不安全的通讯,但始终用 IPSec 响应”选项,则 IPSec 将尝试协商安全关联 (SA) 以及发送或接收受 IPSec 保护的通信。但是,如果对等端无法使用 IPSec,则允许未受到 IPSec 保护的通信。选择此筛选器操作之后,还可以配置以下项目:
- 安全方法及其顺序。此方法列表定义尝试方法的顺序。将使用第一个成功的方法,并且不尝试其余方法。通常,应当按照从最高安全性到最低安全性的顺序排列列表,这样可使用最安全的方法。
- 允许初始传入不安全通信(“接受不安全的通信,但总是用 IPSec 响应”)。IPSec 允许与不安全(即未由 IPSec 保护)配置的筛选器列表相匹配的传入数据包。但是,必须对传入数据包的传出响应提供保护。将默认响应规则用于客户端时,该设置十分有用。将一组服务器用以下规则进行配置:该规则能够保护与任何 IP 地址的通信并能接受不安全通信,同时只用安全通信进行响应,并在客户端计算机上启用默认响应规则以确保客户端能够响应服务器的协商安全请求。若要阻止拒绝服务攻击,应当对连接到 Internet 的安全计算机禁用此选项。
- 对不启用 IPSec 的计算机启用通信(“如果无法建立安全连接,则允许不安全的通信”)。如有必要,IPSec 会回退到不安全的通信。应当再次将 IP 筛选器列表限制在最小范围内。否则,如果由于任何原因而导致协商失败,则此筛选器操作所在的规则影响的任何通信都可能导致数据被不安全发送。如果您关注不安全通信,则可以考虑禁用这些设置。然而,可能会阻止与无法启动 IPSec 的计算机(例如旧系统)的通信。若要阻止拒绝服务攻击,应当对连接到 Internet 的安全计算机禁用此选项。
- 从新的主模式密钥材料生成快速模式会话密钥(会话密钥完全向前保密 (PFS))。启用会话密钥 PFS 可确保无法使用主模式主密钥材料来派生多个快速模式会话密钥。启用快速模式 PFS 时,会执行新的 Diffie-Hellman 密钥交换,以便在创建新的快速模式密钥之前生成新的主模式主密钥材料。会话密钥(快速模式)PFS 不需要重新进行主模式身份验证,并且使用的资源比主密钥(主模式)PFS 更少。
IPSec 安全方法
每个安全方法都定义了关联规则应用的所有通信的安全要求。创建多个安全方法可以增加在两台计算机之间发现通用方法的机会。Internet 密钥交换 (IKE) 组件以降序读取安全方法列表,并将允许的安全方法列表发送到另一个对等端。通常会选择第一种方法。通常,最安全的方法会显示在列表的顶部;最不安全的方法会显示在列表的底部。
预定义的安全方法
已对以下安全方法进行预定义:
加密和完整性
使用 ESP 协议并通过三重“数据加密标准 (3DES)”算法来提供数据保密性(加密),通过“安全哈希算法 1 (SHA1)”完整性算法与默认密钥生存期(100 MB,1小时)来提供数据完整性与身份验证。如果数据和寻址(IP 标头)均需要保护,则可以创建自定义安全方法。如果不需要加密,请使用“仅保持完整性”。
仅保持完整性
通过 SHA1 完整性算法和默认密钥生存期(100 MB,1小时)来使用 ESP 协议提供数据完整性和身份验证。在此配置中,ESP 不提供数据保密性(加密)。
自定义安全方法
如果预定义的“加密并保持完整性”或“仅保持完整性”设置不能满足安全需要,则可以指定自定义安全方法。例如,当必须指定加密和地址完整性、更强的算法或密钥生存期时,可以使用自定义方法。配置自定义安全方法时,可以配置下列内容:
安全协议
需要 IP 标头完整性与数据加密时,可在自定义安全方法中启用 AH(数据和地址完整性但没有加密)与 ESP(数据完整性和加密)。如果选择同时启用二者,则无需为 ESP 指定完整性算法。
注意 | |
无法通过网络地址转换 (NAT) 设备使用 AH 协议,这是因为此协议使用标头的哈希算法。NAT 设备可改变标头,所以数据包的身份验证会不正确。 |
完整性算法
Message Digest 5 (MD5),使用 128 位密钥。此算法不再认为是安全算法,应当仅在互操作需要使用此算法时才进行使用。
SHA1,使用 160 位密钥。SHA1 是比 MD5 性能更强大的哈希算法,并遵循联邦信息处理标准 (FIPS)。
加密算法
3DES 是最安全的 DES 组合,但在性能方面会略微降低。3DES 使用三种唯一的 56 位密钥将每个块处理三次。
DES 使用单个 56 位密钥,它可在不需要 3DES 的较高安全性和较大开销的情况下使用。此算法不再认为是安全算法,应当仅在互操作需要使用此算法时才进行使用。
会话密钥(快速模式)设置决定生成新密钥的时间,而不决定生成新密钥的方式。可以以千字节、秒或千字节/秒为单位指定生存期。例如,如果通信使用 10,000 秒,而将密钥寿命指定为 1,000 秒,则会产生 10 个密钥来完成传输。这样可确保即使攻击者设法确定了一个会话密钥并解密部分通信,也无法解密整个通信。默认情况下,对于每 100 MB 数据或每一小时会生成新的快速模式密钥。每次到达密钥生存期时,除了密钥刷新或再生外,也会重新协商 SA。
使用“新建规则属性”对话框创建筛选器操作的步骤: |
若要在属性对话框中创建筛选器操作,请在“IP 安全策略属性”对话框的“规则”选项卡上清除“使用添加向导”复选框。如果要使用该向导,请选中此复选框。单击“添加”。以下是有关使用对话框创建筛选器列表的说明。
在“规则属性”对话框的“筛选器操作”选项卡上,清除“使用添加向导”复选框,然后单击“添加”。
在“安全方法”选项卡上,选择规则要使用的方法(操作)。
(可选)在“描述”选项卡上,键入筛选器操作的描述。此描述可以帮助您排序筛选器操作,并允许您无需打开筛选器属性即可快速识别筛选器操作。
单击“确定”。
重复第 4 步到第 8 步,将其他筛选器操作添加到列表。
注意 尽管规则可以列出多个筛选器操作,但一个规则只能使用一个筛选器操作。
在“筛选器操作”选项卡上,为规则选择适当的筛选器操作,然后单击“确定”。
使用“管理筛选器列表和筛选器操作”对话框创建筛选器操作的步骤: |
右键单击“IP 安全策略”节点,然后选择“管理 IP 筛选器列表和筛选器操作”。
如果要使用属性对话框创建筛选器操作,请在“管理筛选器列表”选项卡上清除“使用添加向导”复选框。如果要使用该向导,请选中此复选框。单击“添加”。以下是有关使用对话框创建筛选器列表的说明。以下说明不使用该向导。
在“安全方法”选项卡上,选择方法,然后单击“确定”。
如果选择了协商安全选项,则可以添加多个方法,并指定尝试方法的顺序。若要执行此操作,请单击“添加”。
(可选)在“描述”选项卡上,键入筛选器的描述。此描述可以帮助您排序筛选器,并允许您无需打开筛选器属性即可快速识别筛选器。
单击“确定”。
重复第 4 步到第 8 步,将筛选器操作添加到列表。