IPsec 是一套開放式標準的架構,會利用加密編譯安全性服務,來保障 IP 網路上私密通訊的安全。Microsoft Windows 執行 IPSec 的方式,是依據網際網路工程任務推動小組 (IETF) IPSec 工作小組所開發的標準。
IPsec 會從來源 IP 位址到目的地 IP 位址建立信任關係和安全性。只有傳送及接收的電腦才必須了解受保護的流量。每台電腦都從它們各別的端來掌控安全性,它們會假設執行通訊的媒介是不安全的。除非已在兩台電腦之間執行防火牆類型封包篩選或網路位址轉譯 (NAT),否則只從來源到目的地路由資料的電腦,是不需要支援 IPSec。
您可以使用 IP 安全性原則嵌入式管理單元,來建立、編輯及指派此電腦和遠端電腦上的 IPsec 原則。
附註 | |
本文件嘗試提供足夠的資訊,以讓您了解和使用 IP 安全性原則嵌入式管理單元。關於設計及部署原則的資訊則已超出本文件的範圍。 |
關於 IPSec 原則
IPsec 原則是用來設定 IPsec 安全性服務。在大多數現存的網路中,原則可為多數流量類型提供各種層級的保護。您可以根據電腦、組織單位 (OU)、網域、站台或跨國企業的安全性需求,來設定 IPSec 原則。您可以使用此版本的 Windows 中所提供的 IP 安全性原則嵌入式管理單元,來定義位於群組原則物件之電腦 IPsec 原則 (網域成員),或是定義在本機電腦或遠端電腦上的 IPSec 原則。
重要 | |
IP 安全性原則嵌入式管理單元可用來建立套用至執行 Windows Windows Vista 和更新版本之電腦的 IPsec 原則,但是這個嵌入式管理單元不會使用那些 Windows Windows Vista 和更新版本中提供的新安全性演算法和其他的新功能。如果要為這些電腦建立 IPsec 原則,請使用 具有進階安全性的 Windows 防火牆 嵌入式管理單元。具有進階安全性的 Windows 防火牆 嵌入式管理單元不會建立可套用至舊版 Windows 的原則。 |
IPsec 原則是由一般 IPsec 原則設定和規則所組成。會套用一般 IPsec 原則設定,而不論設定了哪些規則。這些設定可決定原則的名稱、系統管理用途的說明、金鑰交換設定及金鑰交換方法。一或多項 IPSec 規則可決定必須檢查哪種類型的流量 IPSec、如何處理流量、如何驗證 IPSec 對等端及其他設定。
原則建立之後,可將它們套用在網域、站台、OU 及本機層上。一台電腦一次只能有一個使用中的原則。使用群組原則物件所散佈和套用的原則會覆寫本機原則。
IPsec 原則嵌入式管理單元工作
本節包含一些您可能會使用 IP 安全性原則嵌入式管理單元來執行的最常見工作:
建立原則
除非您只在一台電腦及其 IPsec 對等端上建立原則,否則您可能必須建立一組 IPsec 原則以適用您的環境。設計、建立及部署原則的程序相當複雜,會根據網域大小、網域中電腦的同質性以及其他因素而定。
一般的程序如下:
- 建立符合您環境中電腦、子網路及條件的 IP 篩選器清單。
- 建立篩選器動作,以回應您想要如何驗證連線、如何套用資料完整性及如何將資料加密。篩選器動作也可以是 [封鎖] 或 [允許],不論其他條件為何。封鎖動作的優先順序高於其他動作。
- 建立一組原則,以符合您所需的篩選和篩選器動作 (安全性) 需求。
- 首先,部署使用 [允許] 和 [封鎖] 篩選器動作的原則,然後監視可能需要調整這些原則之問題的 IPsec 環境。
- 利用該選項部署使用 [交涉安全性] 篩選器動作的原則,來進行回復,並清除文字通訊。這允許您在您的環境中測試 IPsec 的操作,而不會干擾通訊。
- 一旦您對原則進行了任何必要的調整,請儘速於適當處移除回復以清除文字通訊動作。這將導致原則在連線建立之前,就先要求驗證和安全性。
- 監視未執行通訊的環境,這可能是藉由主要模式交涉失敗統計中的突然增加來表示。
建立新的 IPsec 原則 |
以滑鼠右鍵按一下 IP 安全性原則節點,然後按一下 [建立 IP 安全性原則]。
在 [IP 安全性原則精靈] 中,按 [下一步]。
輸入原則的名稱及描述 (可省略),然後按 [下一步]。
可以選取 [啟動預設的回應規則] 核取方塊,也可以不選取它,然後按 [下一步]。
附註 預設回應規則只可用於套用到 Windows XP 和 Windows Server 2003 及較早版本的原則。較新版本的 Windows 無法使用預設回應規則。
如果您正在使用預設回應規則,請選取驗證方法,然後按 [下一步]。
如需預設回應規則的相關資訊,請參閱 IPsec 規則。
將 [編輯內容] 核取方塊保留為選取狀態,然後按 [下一步]。您可以視需要將規則新增至原則中。
新增或變更原則的規則
新增原則規則 |
以滑鼠右鍵按一下 IPsec 原則,然後按一下 [內容]。
如果您想要在內容對話方塊中建立規則,請清除 [使用新增精靈] 核取方塊。如果要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立規則的指示。
在 [新規則內容] 對話方塊的 [IP 篩選器清單] 索引標籤中,選取適當的篩選器清單,或按一下 [新增] 以增加新的篩選器清單。如果您已經建立篩選器清單,它們將出現在「IP 篩選器清單」的清單中。如需建立和使用篩選器清單的相關資訊,請參閱篩選器清單。
附註 每個規則僅能使用一個篩選器清單。
在 [篩選器動作] 索引標籤上,選取適當的篩選器動作,或按一下 [新增] 以增加新的篩選器動作。如需建立和使用篩選器動作的相關資訊,請參閱篩選器動作。
附註 每個規則僅能使用一個篩選器動作。
在 [驗證方法] 索引標籤上,選取適當的方法,或按一下 [新增] 以增加新方法。如需建立和使用驗證方法的相關資訊,請參閱 IPsec 驗證。
附註 您可以為每個規則使用數種方法。而會以方法在清單中出現的順序來嘗試它們。如果您指定了要使用的憑證,則請以您的使用順序將它們一起放入清單中。
在 [連線類型] 索引標籤上,選取此規則要套用的連線類型。如需連線類型的相關資訊,請參閱 IPsec 連線類型。
如果您正在使用通道,請在 [通道設定] 索引標籤上指定端點。依預設,不會使用任何通道。如需使用通道的相關資訊,請參閱 IPsec 通道設定。通道規則無法進行鏡像。
完成所有的設定之後,請按一下 [確定]。
變更原則規則 |
以滑鼠右鍵按一下 IPsec 原則,然後按一下 [內容]。
在 [原則內容] 對話方塊中,選取規則,然後按一下 [編輯]。
在 [編輯規則內容] 對話方塊的 [IP 篩選器清單] 索引標籤中,選取適當的篩選器清單,或按一下 [新增] 以增加新的篩選器清單。如需建立和使用篩選器清單的相關資訊,請參閱篩選器清單。
附註 每個規則僅能使用一個篩選器清單。
在 [篩選器動作] 索引標籤上,選取適當的篩選器動作,或按一下 [新增] 以增加新的篩選器清單。如需建立和使用篩選器動作的相關資訊,請參閱篩選器動作。
附註 每個規則僅能使用一個篩選器動作。
在 [驗證方法] 索引標籤上,選取適當的方法,或按一下 [新增] 以增加新方法。如需建立和使用驗證方法的相關資訊,請參閱 IPsec 驗證。
附註 您可以為每個規則使用數種方法。而會以方法在清單中出現的順序來嘗試它們。
在 [連線類型] 索引標籤上,選取此規則要套用的連線類型。如需連線類型的相關資訊,請參閱 IPsec 連線類型。
如果您正在使用通道,請在 [通道設定] 索引標籤上指定端點。依預設,不會使用任何通道。如需使用通道的相關資訊,請參閱 IPsec 通道設定。
完成所有的設定之後,請按一下 [確定]。
指派原則
指派原則給此電腦 |
以滑鼠右鍵按一下原則,然後按一下 [指派]。
附註 - 一次只能指派一個原則給一台電腦。指派另一個原則會自動取消目前已指派原則的指派。您網域上的群組原則可能會為此電腦指派另一個原則,並忽略本機原則。
- 如果要讓電腦對電腦的 IPsec 原則可以成功,您必須在另一台電腦上建立鏡像的原則,並將該原則指派給那台電腦。
- 如果要將這個原則指派給多台電腦,請使用群組原則。