選取防火牆規則中的 [僅允許安全連線] 時,您是在指定網路封包必須受到網際網路安全性 (IPsec) 的保護,否則封包不符合規則。若您按一下該選項旁邊的 [自訂],您可以設定這些選項,允許您指定需要的 IPsec 保護類型。
您必須選取以下描述的前三個選項之一。最後一個選項 [覆寫封鎖規則],可以獨立選取,與其他選項無關。
 | 開啟這個對話方塊 |
使用新防火牆規則精靈建立防火牆規則時,按一下 [動作] 頁面的 [僅允許安全連線],然後按一下 [自訂]。
修改現有的防火牆規則時,選取 [一般] 索引標籤上的 [僅允許安全連線],然後按一下 [自訂]。
允許已驗證且進行完整性保護的連線
這是預設選項。使用這個選項,需要所有相符的網路封包同時使用 IPsec 驗證與完整性演算法 (其他連線安全性規則所定義)。若網路封包符合所有其他條件,但是未經驗證或受到完整性演算法的保護,則不符合此規則,而且會予以封鎖。
 | 附註 |
當套用至執行 Windows Vista 或更新版本的 Windows 時,則支援這個設定。 |
需要加密連線
使用這個選項,需要所有相符的網路封包使用其他連線安全性規則定義的資料加密。若網路封包符合所有其他條件,但是未經過加密,則不符合此規則,而且會予以封鎖。啟用此選項時,具有進階安全性的 Windows 防火牆會使用 [自訂資料保護設定] 對話方塊中的設定。
允許電腦動態交涉加密
此選項只適用於輸入規則。使用這個選項,在交涉加密演算法時,允許在驗證成功後進行網路連線,以便收發未加密的網路流量。
 | 安全性 附註 |
交涉加密時,網路流量會以純文字方式傳送。如果這個期間透過連線傳送的網路流量,太敏感而不適合純文字傳輸時,請不要指定這個選項。 |
允許連線使用 Null 封裝
使用這個選項,需要所有相符的網路封包使用 IPsec 驗證,但是不需要完整性或加密保護。我們建議:網路設備或軟體與 Encapsulating Security Payload (ESP) 或 Authentication Header (AH) 完整性通訊協定不相容時,才使用這個選項。
| 附註 |
當套用至執行 Windows 7 或 Windows Server 2008 R2 的電腦時,會支援這個設定。它不適用於執行舊版 Windows 的電腦。 |
覆寫封鎖規則
使用此選項以允許符合此防火牆規則的網路封包,覆寫任何封鎖防火牆規則。此選項稱為「略過驗證」。通常明確封鎖連線的規則都優先於允許連線的規則。如果使用此選項,即使有其他規則封鎖連線,仍會允許此連線。您是在極力的說明符合這個規則的網路封包受到允許,是因為它來自授權、信任的使用者或電腦而受到驗證。
這個選項一般是用來允許信任的程式執行而且不會受到任何限制,例如網路弱點掃描器以及其他網路工具。雖然典型的防火牆設定真的且應該要封鎖類似裝置的網路流量,不過您可以建立規則來識別授權的電腦。[覆寫封鎖規則] 選項只允許這些授權電腦的流量。如果您未使用此選項,則符合相同防火牆規則條件的任何封鎖防火牆規則都有優先權,因此將封鎖連線。
如果您選取這個選項,則必須在新增防火牆規則精靈的 [電腦] 頁面,或 [防火牆規則內容] 對話方塊的 [電腦] 索引標籤,為至少一個電腦或電腦群組指定授權。
| 附註 |
如果在 [具有進階安全性的 Windows 防火牆內容] 對話方塊中,將防火牆作業狀態設定成 [封鎖所有連線],則會封鎖所有網路流量,即使設定了這個選項。 |