IPsec 是一套開放式標準的架構,會利用加密編譯安全性服務,來保障 IP 網路上私密通訊的安全。Microsoft Windows 執行 IPSec 的方式,是依據網際網路工程任務推動小組 (IETF) IPSec 工作小組所開發的標準。

IPsec 會從來源 IP 位址到目的地 IP 位址建立信任關係和安全性。只有傳送及接收的電腦才必須了解受保護的流量。每台電腦都從它們各別的端來掌控安全性,它們會假設執行通訊的媒介是不安全的。除非已在兩台電腦之間執行防火牆類型封包篩選或網路位址轉譯 (NAT),否則只從來源到目的地路由資料的電腦,是不需要支援 IPSec。

您可以使用 IP 安全性原則嵌入式管理單元,來建立、編輯及指派此電腦和遠端電腦上的 IPsec 原則。

附註

本文件嘗試提供足夠的資訊,以讓您了解和使用 IP 安全性原則嵌入式管理單元。關於設計及部署原則的資訊則已超出本文件的範圍。

關於 IPSec 原則

IPsec 原則是用來設定 IPsec 安全性服務。在大多數現存的網路中,原則可為多數流量類型提供各種層級的保護。您可以根據電腦、組織單位 (OU)、網域、站台或跨國企業的安全性需求,來設定 IPSec 原則。您可以使用此版本的 Windows 中所提供的 IP 安全性原則嵌入式管理單元,來定義位於群組原則物件之電腦 IPsec 原則 (網域成員),或是定義在本機電腦或遠端電腦上的 IPSec 原則。

重要

IP 安全性原則嵌入式管理單元可用來建立套用至執行 Windows Windows Vista 和更新版本之電腦的 IPsec 原則,但是這個嵌入式管理單元不會使用那些 Windows Windows Vista 和更新版本中提供的新安全性演算法和其他的新功能。如果要為這些電腦建立 IPsec 原則,請使用 具有進階安全性的 Windows 防火牆 嵌入式管理單元。具有進階安全性的 Windows 防火牆 嵌入式管理單元不會建立可套用至舊版 Windows 的原則。

IPsec 原則是由一般 IPsec 原則設定和規則所組成。會套用一般 IPsec 原則設定,而不論設定了哪些規則。這些設定可決定原則的名稱、系統管理用途的說明、金鑰交換設定及金鑰交換方法。一或多項 IPSec 規則可決定必須檢查哪種類型的流量 IPSec、如何處理流量、如何驗證 IPSec 對等端及其他設定。

原則建立之後,可將它們套用在網域、站台、OU 及本機層上。一台電腦一次只能有一個使用中的原則。使用群組原則物件所散佈和套用的原則會覆寫本機原則。

IPsec 原則嵌入式管理單元工作

本節包含一些您可能會使用 IP 安全性原則嵌入式管理單元來執行的最常見工作:

建立原則

除非您只在一台電腦及其 IPsec 對等端上建立原則,否則您可能必須建立一組 IPsec 原則以適用您的環境。設計、建立及部署原則的程序相當複雜,會根據網域大小、網域中電腦的同質性以及其他因素而定。

一般的程序如下:

  1. 建立符合您環境中電腦、子網路及條件的 IP 篩選器清單。

  2. 建立篩選器動作,以回應您想要如何驗證連線、如何套用資料完整性及如何將資料加密。篩選器動作也可以是 [封鎖][允許],不論其他條件為何。封鎖動作的優先順序高於其他動作。

  3. 建立一組原則,以符合您所需的篩選和篩選器動作 (安全性) 需求。

  4. 首先,部署使用 [允許][封鎖] 篩選器動作的原則,然後監視可能需要調整這些原則之問題的 IPsec 環境。

  5. 利用該選項部署使用 [交涉安全性] 篩選器動作的原則,來進行回復,並清除文字通訊。這允許您在您的環境中測試 IPsec 的操作,而不會干擾通訊。

  6. 一旦您對原則進行了任何必要的調整,請儘速於適當處移除回復以清除文字通訊動作。這將導致原則在連線建立之前,就先要求驗證和安全性。

  7. 監視未執行通訊的環境,這可能是藉由主要模式交涉失敗統計中的突然增加來表示。

建立新的 IPsec 原則
  1. 以滑鼠右鍵按一下 IP 安全性原則節點,然後按一下 [建立 IP 安全性原則]

  2. 在 [IP 安全性原則精靈] 中,按 [下一步]

  3. 輸入原則的名稱及描述 (可省略),然後按 [下一步]

  4. 可以選取 [啟動預設的回應規則] 核取方塊,也可以不選取它,然後按 [下一步]

    附註

    預設回應規則只可用於套用到 Windows XP 和 Windows Server 2003 及較早版本的原則。較新版本的 Windows 無法使用預設回應規則。

  5. 如果您正在使用預設回應規則,請選取驗證方法,然後按 [下一步]

    如需預設回應規則的相關資訊,請參閱 IPsec 規則

  6. [編輯內容] 核取方塊保留為選取狀態,然後按 [下一步]。您可以視需要將規則新增至原則中。

新增或變更原則的規則

新增原則規則
  1. 以滑鼠右鍵按一下 IPsec 原則,然後按一下 [內容]

  2. 如果您想要在內容對話方塊中建立規則,請清除 [使用新增精靈] 核取方塊。如果要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立規則的指示。

  3. [新規則內容] 對話方塊的 [IP 篩選器清單] 索引標籤中,選取適當的篩選器清單,或按一下 [新增] 以增加新的篩選器清單。如果您已經建立篩選器清單,它們將出現在「IP 篩選器清單」的清單中。如需建立和使用篩選器清單的相關資訊,請參閱篩選器清單

    附註

    每個規則僅能使用一個篩選器清單。

  4. [篩選器動作] 索引標籤上,選取適當的篩選器動作,或按一下 [新增] 以增加新的篩選器動作。如需建立和使用篩選器動作的相關資訊,請參閱篩選器動作

    附註

    每個規則僅能使用一個篩選器動作。

  5. [驗證方法] 索引標籤上,選取適當的方法,或按一下 [新增] 以增加新方法。如需建立和使用驗證方法的相關資訊,請參閱 IPsec 驗證

    附註

    您可以為每個規則使用數種方法。而會以方法在清單中出現的順序來嘗試它們。如果您指定了要使用的憑證,則請以您的使用順序將它們一起放入清單中。

  6. [連線類型] 索引標籤上,選取此規則要套用的連線類型。如需連線類型的相關資訊,請參閱 IPsec 連線類型

  7. 如果您正在使用通道,請在 [通道設定] 索引標籤上指定端點。依預設,不會使用任何通道。如需使用通道的相關資訊,請參閱 IPsec 通道設定。通道規則無法進行鏡像。

  8. 完成所有的設定之後,請按一下 [確定]

變更原則規則
  1. 以滑鼠右鍵按一下 IPsec 原則,然後按一下 [內容]

  2. [原則內容] 對話方塊中,選取規則,然後按一下 [編輯]

  3. [編輯規則內容] 對話方塊的 [IP 篩選器清單] 索引標籤中,選取適當的篩選器清單,或按一下 [新增] 以增加新的篩選器清單。如需建立和使用篩選器清單的相關資訊,請參閱篩選器清單

    附註

    每個規則僅能使用一個篩選器清單。

  4. [篩選器動作] 索引標籤上,選取適當的篩選器動作,或按一下 [新增] 以增加新的篩選器清單。如需建立和使用篩選器動作的相關資訊,請參閱篩選器動作

    附註

    每個規則僅能使用一個篩選器動作。

  5. [驗證方法] 索引標籤上,選取適當的方法,或按一下 [新增] 以增加新方法。如需建立和使用驗證方法的相關資訊,請參閱 IPsec 驗證

    附註

    您可以為每個規則使用數種方法。而會以方法在清單中出現的順序來嘗試它們。

  6. [連線類型] 索引標籤上,選取此規則要套用的連線類型。如需連線類型的相關資訊,請參閱 IPsec 連線類型

  7. 如果您正在使用通道,請在 [通道設定] 索引標籤上指定端點。依預設,不會使用任何通道。如需使用通道的相關資訊,請參閱 IPsec 通道設定

  8. 完成所有的設定之後,請按一下 [確定]

指派原則

指派原則給此電腦
  • 以滑鼠右鍵按一下原則,然後按一下 [指派]

    附註
    • 一次只能指派一個原則給一台電腦。指派另一個原則會自動取消目前已指派原則的指派。您網域上的群組原則可能會為此電腦指派另一個原則,並忽略本機原則。
    • 如果要讓電腦對電腦的 IPsec 原則可以成功,您必須在另一台電腦上建立鏡像的原則,並將該原則指派給那台電腦。
    • 如果要將這個原則指派給多台電腦,請使用群組原則。

請參閱