篩選器動作會定義資料傳輸的安全性需求。您可以在建立原則或建立原則之前,定義篩選器動作。篩選器清單可用於任何原則。如要定義篩選器清單,請以滑鼠右鍵按一下 IP 安全性原則節點,並選取 [管理篩選器清單和篩選器動作]

篩選器動作可設定為:

允許流量

IPSec 會將此流量傳給 TCP/IP 驅動程式,或從該驅動程式傳出,而不需進行任何的安全性修改或需求。這也適用於來自不具 IPSec 功能之電腦的流量。使用這種類型的篩選器動作時,請確定將 IP 篩選器清單限制在最小範圍之內,所以您不允許必須受到保護的流量。

考慮允許 ICMP 流量來疑難排解問題。您也可能需要允許不在網域中的電腦 (例如,顧問的電腦) 存取網域中的另一台電腦。您可以使用允許篩選器來允許此項存取。

重要

允許篩選器動作可允許存取,而不需進行驗證、資料完整性或加密。使用篩選器清單中所指定 IP 位址的電腦的任何人都會被授予存取權。電腦間的所有流量則是以純文字來進行;不會執行任何的完整性檢查。

封鎖流量

IPsec 會以無訊息的方式丟棄已封鎖的流量。使用封鎖篩選器動作時,請確定會使用定義正確 IP 位址範圍的 IP 篩選器清單。使用較大的範圍會增加封鎖有效電腦之間流量的機會。

交涉安全性

如果您啟用 [接受無安全性的通訊,但永遠使用 IPsec 來回應] 選項,IPsec 會嘗試交涉安全性關聯 (SA),以及傳送和接收 IPsec 保護的流量。不過,如果對等電腦無法使用 IPsec,則即使沒有 IPsec 保護,還是允許進行通訊。在您選擇交涉此篩選器動作之後,您也可以設定下列事項:

  • 安全性方法及其順序。這個方法清單會定義嘗試方法的順序。將使用第一個成功的方法,而不會嘗試剩餘的方法。通常,此清單會從最高安全性到最低安全性依序排列,因此會使用最安全的方法。

  • 接受初始連入的無安全性流量 ([接受無安全性的通訊,但永遠使用 IPsec 來回應])。IPsec 允許符合設定為無安全性 (即未受 IPsec 保護) 之篩選器清單的連入封包。不過,必須保護到連入封包的連出回應。當您針對用戶端使用預設回應規則時,此設定非常有用。當一組伺服器的設定可保護任何 IP 位址的通訊並接受無安全性通訊時,則在用戶端電腦上僅以安全的通訊回應並啟用預設回應規則將可確保用戶端會回應伺服器要求來交涉安全性。如果要防止阻斷服務的攻擊,讓連線到網際網路的電腦更為安全,則應停用此選項。

  • 啟用與未啟用 IPsec 電腦的通訊 ([如果無法建立安全的連線,則允許無安全性的通訊])。如有需要,IPsec 會回復為無安全性通訊。再次提醒您,您應該將 IP 篩選器清單限制在最小範圍內。否則,如果交涉因任何理由失敗時,由該篩選器動作的規則所影響的通訊可導致傳送沒有保護的資料。如果您擔心無安全性的通訊,則可考慮停用這些設定。不過,與不能起始 IPsec (如傳統型系統) 之電腦間的通訊可能被封鎖。如果要防止阻斷服務的攻擊,讓連線到網際網路的電腦更為安全,則應停用此選項。

  • 從新的主要模式金鑰產製原料 ([使用工作階段金鑰完全正向加密 (PFS)]) 來產生快速模式工作階段金鑰。啟用工作階段金鑰的 PFS 可確保主要模式的主要金鑰產製原料無法用來衍生超過一個以上的快速模式工作階段金鑰。啟用快速模式 PFS 時,在新的快速模式金鑰建立之前,會執行新的 Diffie-Hellman 金鑰交換以產生新的主要模式之主要金鑰產製原料。工作階段金鑰 (快速模式) PFS 不需要主要模式的重新驗證,因此它會比主要金鑰 (主要模式) PFS 使用較少的資源。

IPsec 安全性方法

每個安全性方法都定義了任何相關規則適用之通訊安全性需求。建立多重安全性方法增加了在二台電腦之間找到共同方法的機會。網際網路金鑰交換 (IKE) 元件會讀取遞減排列的安全性方法清單,並將允許的安全性方法清單傳送到另一個對等端。通常會選取第一個方法。最安全的方法通常會出現在清單的頂端,而最不安全的方法則會出現在清單的底端。

預先定義的安全性方法

預先定義的安全性方法包括:

加密及完整性

使用 ESP 通訊協定來提供具有使用三重資料加密標準 (3DES) 演算法的資料機密性 (加密)、資料完整性及安全雜湊演算法 1 (SHA1) 的整合演算法及預設金鑰存留期 (100 MB、1 小時)。如果您既需要資料保護又需要定址保護,可以建立自訂安全性方法。如果您不需要加密,請使用 [僅完整性]。

僅完整性

使用 ESP 通訊協定來提供資料完整性及驗證,使用 SHA1 的整合演算法及預設金鑰存留期 (100 MB、1 小時)。在這項設定中,ESP 未提供資料機密性 (加密)。

自訂安全性方法

如果預先定義的 [加密及完整性] 或 [僅完整性] 設定不符合您的安全性需求,您可以指定自訂的安全性方法。例如,您可以在必須指定加密及位址完整性、較強的演算法或金鑰存留期的時候,使用自訂的方法。在設定自訂的安全性方法時,您可以設定下列事項:

安全性通訊協定

當您需要 IP 標頭完整性及資料加密時,可以在自訂的安全性方法中啟用 AH (不加密的資料及位址完整性) 及 ESP (資料完整性及加密) 這兩者。如果您選擇啟用這兩者,就不需要為 ESP 指定整合演算法。

附註

因為 AH 通訊協定會使用標頭雜湊,所以無法在網路位址轉譯 (NAT) 裝置上使用。NAT 裝置會改變標頭,所以封包不會適當地進行驗證。

完整性演算法

訊息摘要 5 (MD5),會產生 128 位元金鑰。這個演算法不再被認為是安全的,而且只在有互通性需求時才會使用。

SHA1,會使用 160 位元金鑰。SHA1 是較 MD5 強大的雜湊,且與美國聯邦資訊處理標準 (FIPS) 相容。

加密演算法

3DES 是最安全的 DES 組合,但在效能上稍微慢一些。3DES 會將每個區塊處理三次,每次都使用唯一的 56 位元金鑰。

DES 會使用單一的 56 位元金鑰,當不需要高安全性及 3DES 的花費時,便會使用它。這個演算法不再被認為是安全的,而且只在有互通性需求時才會使用。

工作階段金鑰 (快速模式) 設定會決定何時 (而不是如何) 產生新的金鑰。您可以使用 KB、秒數或這兩者來指定存留期。例如,如果通訊需要花上 10.000 秒,而指定金鑰存留期為 1000 秒時,結果將產生 10 個金鑰來完成轉送。這可以確保即使攻擊者能判斷工作階段金鑰並解密部分通訊,但攻擊者無法解密全部通訊。根據預設值,會以每 100 MB 的資料或每小時來產生新的快速模式金鑰。每當到達金鑰存留期時,除了重新整理或再製金鑰外,還需要重新交涉 SA。

使用新規則內容對話方塊建立篩選器動作
  1. 如果您想要在內容對話方塊中建立篩選器動作,請於 [IP 安全性原則內容] 對話方塊的 [規則] 索引標籤中,清除 [使用新增精靈] 核取方塊。如果您想要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立篩選器清單的指示。

  2. [規則內容] 對話方塊的 [篩選器動作] 索引標籤上,清除 [使用新增精靈] 核取方塊並按一下 [新增]

  3. [安全性方法] 索引標籤上,選取規則將使用的方法 (動作)。

  4. (選擇性) 在 [描述] 索引標籤上,輸入篩選器動作的描述。此描述可協助您透過篩選器動作來排序,並允許您快速識別篩選器動作,而不需開啟它的內容。

  5. 按一下 [確定]

  6. 重複步驟 4 到步驟 8,將額外的篩選器動作新增至清單。

    附註

    雖然規則可列出數個篩選器動作,但每個規則只能使用一個篩選器動作。

  7. [篩選器動作] 索引標籤上,為規則選取適當的篩選器動作,然後按一下 [確定]

使用管理篩選器清單和篩選器動作對話方塊來建立篩選器動作
  1. 以滑鼠右鍵按一下 IP 安全性原則節點,並選取 [管理 IP 篩選器清單和篩選器動作]

  2. 如果您想要使用內容對話方塊來建立篩選器動作,請於 [管理篩選器動作] 索引標籤上,清除 [使用新增精靈] 核取方塊。如果您想要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立篩選器清單的指示。下列指示不會使用精靈。

  3. [安全性方法] 索引標籤上,選取方法,然後按一下 [確定]

  4. 如果您選取了交涉安全性選項,則您可新增數個方法,並指定嘗試他們的順序。如果要這樣做,請按一下 [新增]

  5. (選擇性) 在 [描述] 索引標籤上,輸入篩選器的描述。此描述可協助您透過篩選器來排序,並允許您快速識別篩選器,而不需要開啟它的內容。

  6. 按一下 [確定]

  7. 重複步驟 4 到步驟 8,將篩選器動作新增至清單。

請參閱