每条规则定义了一个身份验证方法的列表。每个身份验证方法定义了在应用相关规则的通信中验证身份的方法的要求。每个对等端按照列出方法的顺序尝试这些方法。两个对等端都必须至少有一个通用身份验证方法,否则通信将失败。创建多个身份验证方法可增加在两台计算机之间找到通用方法的机会。
 | 注意 |
这些方法的顺序也非常重要,这是因为仅会尝试第一个通用方法;如果第一个方法进行身份验证失败,则即使列表中的其他方法可能尝试成功,也不会尝试这些方法。 |
身份验证方法
不管配置了多少种身份验证方法,一对计算机之间只能使用一种方法。如果有适用于同一对计算机的多个规则,则必须在这些规则中配置身份验证方法列表以使这对计算机使用相同的身份验证方法。例如,如果一对计算机之间的某条规则指定仅使用 Kerberos 进行身份验证并仅筛选 TCP 数据,而在其他规则中,指定仅使用证书进行身份验证并仅筛选 UDP 数据,则身份验证将失败。可在“编辑规则属性”或“添加规则属性”属性页的“身份验证方法”选项卡上配置身份验证方法。
- Kerberos Version 5 身份验证协议是默认的身份验证技术。此方法可用于属于相同域或受信任域的运行 Kerberos V5 身份验证协议的任何计算机。此方法对使用 Internet 协议安全 (IPsec) 的域隔离非常有用。
- 在以下情况中应该使用公钥证书:Internet 访问、对公司资源的远程访问、外部商业伙伴通信或不运行 Kerberos V5 身份验证协议的计算机。这要求至少已配置了一个受信任的证书颁发机构 (CA)。此版本的 Windows 支持 X.509 版本 3 证书,包括商业认证机构生成的 CA 证书。
- 可指定预共享密钥。这是两个用户先前同意的共享机密密钥。预共享密钥使用便捷,而且不需要客户端运行 Kerberos V5 身份验证协议或拥有公钥证书。双方必须手动配置 IPsec 才能使用此预共享密钥。这是一个验证独立计算机或不使用 Kerberos V5 身份验证协议的任何计算机的简单方法。预共享密钥仅用于身份验证保护;它不用于数据完整性或加密。
 | 重要 |
预共享密钥存储在明文中,并且不被认为是一种安全方法。预共享密钥应该仅用于测试。 |