使用這個對話方塊,設定當建立交涉快速模式關聯時可以使用的資料完整性演算法。您必須指定通訊協定與演算法二者,此二者會用來保護網路封包的資料完整性。
網際網路通訊協定安全性 (IPsec) 會計算網路封包的資料所產生的雜湊,藉以提供完整性。然後會以加密編譯的方法簽署雜湊 (加密),然後內嵌到 IP 封包。負責接收的電腦會使用相同的演算法來計算雜湊,並將它的結果與內嵌到已接收封包的雜湊進行比較。若相符,則表示接收的資訊與傳送的資訊完全相同,然後就會接受封包。如果不相符,則會丟棄封包。
使用傳輸訊息的加密雜湊,使其以計算的方式變更訊息後,一定會導致雜湊不相符。透過不安全的網路 (例如網際網路) 交換資料時,這一點十分重要,因為它提供一種方式可知道訊息在傳輸期間並未變更。
 | 如何開啟這個對話方塊 |
在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的 [概觀] 中按一下 [Windows 防火牆內容]。
按一下 [IPsec 設定] 索引標籤。
按一下 [IPsec 預設值] 之下的 [自訂]。
在 [資料保護 (快速模式)] 中選取 [進階],然後按一下 [自訂]。
在 [資料完整性] 之下,從清單中選取一個演算法組合,然後按一下 [編輯] 或 [新增]。
通訊協定
以下通訊協定會用來將完整性資訊內嵌到 IP 封包。
ESP (建議選項)
ESP 提供 IP 裝載的驗證、完整性以及禁止重新播放保護。用於傳輸模式的 ESP 不會簽署整個封包。通常只保護 IP 裝載,而不保護 IP 標頭。ESP 可以單獨使用或與 AH 合併使用。使用 ESP 時,雜湊計算只包括 ESP 標頭、尾端及裝載。ESP 可以使用多種支援的加密演算法之一來加密 ESP 內容,視情況提供資料機密性服務。透過為每個封包加上序號來提供封包重新播放服務。
AH
AH 為整個封包 (包括 IP 標頭及封包中隨附的資料裝載) 提供驗證、完整性及禁止重新播放功能。它不對資料加密,所以它不提供機密性。資料是可讀的,但不可修改。雜湊計算會排除某些在傳送中允許變更的欄位。透過為每個封包加上序號來提供封包重新播放服務。
 | 重要 |
AH 通訊協定與網路位址轉譯 (NAT) 不相容,因為 NAT 裝置會變更包含在完整性雜湊中部分封包標頭的資訊。若要允許 IPsec 的流量通過 NAT 裝置,必須使用 ESP 並確定 IPsec 對等電腦已經啟用 NAT 周遊 (NAT-T)。 |
Null 封裝
Null 封裝會指出您不想在網路流量上使用任何完整性或加密保護。連線安全性規則仍然會要求執行驗證,不過不會對透過此安全性關聯而交換的網路封包提供任何其他保護。
 | 安全性 附註 |
因為這個選項不提供任何形式的完整性或機密性保護,所以我們建議您在必須支援的軟體或網路裝置與 ESP 或 AH 不相容時,才使用它。 |
演算法
執行這個版本的 Windows 電腦才可以使用下列完整性演算法。執行其他版本的 Windows 電腦,無法使用這些演算法中的部分演算法。如果您必須與執行舊版本的 Windows 電腦建立 IPsec 保護的連線,則必須包含與舊版本相容的演算法選項。
如需詳細資訊,請參閱
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
注意 MD5 不再被視為安全的方法,應該只用於測試,或遠端電腦無法使用更安全之演算法的情況下使用。它僅供回溯相容性使用。
金鑰存留期
存留期設定可決定何時產生新的金鑰。金鑰存留期可讓您在特定時間間隔或傳輸特定數量的資料之後,強制產生新的金鑰。例如,如果通訊用了 100 分鐘,同時您指定金鑰存留期為 10 分鐘,那麼在交換期間將產生 10 個金鑰 (每 10 分鐘一個)。如果有攻擊者設法取得進入一部分通訊過程的金鑰時,使用多重金鑰可確保不會洩露整個通訊。
 | 附註 |
此重新產生金鑰只用於快速模式資料完整性。這些設定不會影響主要模式金鑰交換的金鑰存留期設定。 |
分鐘
使用這個設定,設定使用金鑰用在快速模式安全性關聯的持續時間 (以分鐘為單位)。在此時間間隔之後,就會重新產生金鑰。後續的通訊將使用新的金鑰。
最大存留期為 2,879 分 (48 小時)。最小存留期為 5 分。我們建議您隨著風險分析需求的頻率來更新金鑰。更新金鑰太過頻繁會影響效能。
KB
使用此設定,設定要使用金鑰傳送多少 KB 的資料。達到此閾值之後,就會重設計數器並重新產生金鑰。後續的通訊將使用新的金鑰。
最大存留期為 2,147,483,647 KB。最小存留期為 20,480 KB。我們建議您隨著風險分析需求的頻率來更新金鑰。更新金鑰太過頻繁會影響效能。