使用這個對話方塊,設定提供資料完整性與資料保密性 (加密) 的演算法,而且在交涉快速模式安全性關聯時可以使用。您必須指定通訊協定與演算法二者,此二者會用來保護網路封包的資料完整性。

網際網路通訊協定安全性 (IPsec) 會計算網路封包的資料所產生的雜湊,藉以提供完整性。然後會以加密編譯的方法簽署雜湊 (加密),然後內嵌到 IP 封包。負責接收的電腦會使用相同的演算法來計算雜湊,並將結果與內嵌到已接收封包的雜湊進行比較。若相符,則表示接收的資訊與傳送的資訊完全相同,然後就會接受封包。如果不相符,則會丟棄封包。

使用傳輸訊息的加密雜湊,使其以計算的方式變更訊息後,一定會導致雜湊不相符。透過不安全的網路 (例如網際網路) 交換資料時,這一點十分重要,因為它提供一種方式可知道訊息在傳輸期間並未變更。

除了完整性保護之外,這個對話方塊允許您指定一種加密演算法,在傳輸網路封包時萬一遭到攔截,便可以協助防止資料被讀取。

如何開啟這個對話方塊
  1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的 [概觀] 中按一下 [Windows 防火牆內容]

  2. 按一下 [IPsec 設定] 索引標籤。

  3. 按一下 [IPsec 預設值] 之下的 [自訂]

  4. [資料保護 (快速模式)] 中選取 [進階],然後按一下 [自訂]

  5. [資料完整性及加密] 之下,從清單中選取一個演算法組合,然後按一下 [編輯][新增]

通訊協定

以下通訊協定會用來將完整性及加密資訊內嵌到 IP 封包。

ESP (建議選項)

「封裝安全承載」(ESP) 還為 IP 裝載提供機密性功能 (而不僅提供驗證、完整性及禁止重新播放功能)。ESP 無法在傳輸模式中簽署整個封包。通常只保護 IP 資料裝載,而不保護 IP 標頭。ESP 可以單獨使用或與驗證標頭 (AH) 合併使用。使用 ESP 時,雜湊計算只包括 ESP 標頭、尾端及裝載。ESP 可以使用多種支援的加密演算法之一來加密 ESP 內容,以提供資料機密性服務。透過為每個封包加上序號來提供封包重新播放服務。

ESP 及 AH

此選項結合 ESP 通訊協定與 AH 通訊協定的安全性。AH 為整個封包 (包括 IP 標頭及封包中隨附的資料裝載) 提供驗證、完整性及禁止重新播放功能。

重要

AH 通訊協定與網路位址轉譯 (NAT) 不相容,因為 NAT 裝置需要變更封包標頭中的資訊。若要允許 IPsec 的流量通過 NAT 裝置,必須確定 IPsec 對等電腦支援 NAT 周遊 (NAT-T)。

演算法

加密演算法

執行這個版本的 Windows 電腦才可以使用下列加密演算法。執行較早版本的 Windows 電腦,無法使用這些演算法中的部分演算法。如果您必須與執行舊版本的 Windows 電腦建立 IPsec 保護的連線,則必須包含與舊版本相容的演算法選項。

如需詳細資訊,請參閱 Windows 支援的 IPsec 演算法與方法 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=129230)。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

安全性 附註

我們建議您不要使用 DES。它僅供回溯相容性使用。

附註

如果指定 AES-GCM 演算法進行加密,則完整性必須指定相同的演算法。

完整性演算法

執行這個版本的 Windows 電腦才可以使用下列完整性演算法。執行其他版本的 Windows 電腦,無法使用這些演算法中的部分演算法。如果您必須與執行舊版本的 Windows 電腦建立 IPsec 保護的連線,則必須包含與舊版本相容的演算法選項。

如需詳細資訊,請參閱 Windows 支援的 IPsec 演算法與方法 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=129230)。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

安全性 附註

我們建議您不要使用 MD5。它僅供回溯相容性使用。

附註

如果指定 AES-GCM 演算法進行完整性,則加密必須指定相同的演算法。

金鑰存留期

存留期設定可決定何時產生新的金鑰。金鑰存留期可讓您在特定時間間隔或傳輸特定數量的資料之後,強制產生新的金鑰。例如,如果通訊用了 100 分鐘,同時您指定金鑰存留期為 10 分鐘,那麼在交換期間將產生 10 個金鑰 (每 10 分鐘一個)。如果有攻擊者設法取得進入一部分通訊過程的金鑰時,使用多重金鑰可確保不會洩露整個通訊。

附註

此重新產生金鑰是用於快速模式資料完整性以及加密,而且不會影響主要模式金鑰交換的金鑰存留期設定。

分鐘

使用這個設定,設定使用金鑰用在快速模式安全性關聯的持續時間 (以分鐘為單位)。在此時間間隔之後,就會重新產生金鑰。後續的通訊將使用新的金鑰。

最大存留期為 2,879 分 (48 小時)。最小存留期為 5 分。我們建議您隨著風險分析需求的頻率來更新金鑰。更新金鑰太過頻繁會影響效能。

KB

使用此設定,設定要使用金鑰傳送多少 KB 的資料。達到此閾值之後,就會重設計數器並重新產生金鑰。後續的通訊將使用新的金鑰。

最大存留期為 2,147,483,647 KB。最小存留期為 20,480 KB。我們建議您隨著風險分析需求的頻率來更新金鑰。更新金鑰太過頻繁會影響效能。

請參閱


目錄