除了封鎖或允許規則的情況,IP 篩選器清單會根據與來源、目的及 IP 流量類型的對應情況來觸發安全性交涉。這種類型的 IP 封包篩選讓系統管理員可以精確地定義要保護哪個 IP 流量。每個 IP 篩選器清單都包含一或數個定義 IP 位址及流量類型的篩選器。IP 篩選器清單可以用於多重通訊方案。

IPsec 同時需要篩選器清單中所指定電腦之間的輸入篩選器和輸出篩選器,但封鎖或允許規則除外。輸入篩選器會套用到連入流量,並讓接收的電腦可以回應安全通訊的要求,或符合 IP 篩選器清單的流量。輸出篩選器會套用到離開電腦的流量,並在傳送流量之前處理安全性交涉。

藉由使用 [鏡像處理] 核取方塊,您可以自動根據篩選器設定來建立兩個篩選器:一個用於到目的地的流量,一個則用於來自目的地的流量。這允許與其他電腦的雙向通訊。

篩選器清單設定

您可以在建立原則或建立原則之前,定義篩選器清單 (與篩選器動作)。篩選器清單可用於任何原則。如要定義篩選器清單,請以滑鼠右鍵按一下 IP 安全性原則節點,並選取 [管理 IP 篩選器清單和篩選器動作]

每個篩選器會定義輸入或輸出網路流量的子集合,篩選器動作會根據保護流量安全 (使用驗證、資料完整性或資料加密)、整個封鎖或允許 (不需使用驗證、資料完整性或資料加密)。您必須擁有篩選器來涵蓋任何套用相關規則的流量。篩選器包含下列設定:

  • IP 封包的來源及目的位址。您可以將任何指派給 IPsec 對等端的 IP 位址,指定為單一的 IP 位址、DNS 名稱的 IP 位址或一組 IP 位址,來指定 IP 子網路。

  • 用以傳輸封包之通訊協定。這會自動涵蓋 TCP/IP 通訊協定套件中的所有通訊協定。不過,它是為個別通訊協定 (包括自訂的通訊協定在內) 所設定,以符合特定需求。

  • TCP 及 UDP 之通訊協定的來源及目的地連接埠。依預設,會涵蓋所有的 TCP 及 UDP 連接埠,但這可設定為只套用到特定的 TCP 或 UDP 連接埠。

重要

DNS 名稱解析只會發生於已建立篩選器但之後尚未更新時。所以,如果 IP 位址變更了,原則將不會更新。如果要更新 IP 位址,您必須編輯原則。

使用新規則內容對話方塊建立篩選器清單
  1. [IP 安全性原則內容] 對話方塊中,選取正確的 IP 安全性規則,然後按一下 [編輯],或者,您可以按一下 [新增] 以建立新規則。

  2. 如果您想要使用內容對話方塊來建立篩選器清單,請於 [IP 篩選器清單] 索引標籤上,清除 [使用新增精靈] 核取方塊。如果您想要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立篩選器清單的指示。

  3. [IP 篩選器內容] 對話方塊的 [位址] 索引標籤上,選取來源 (本機) IP 位址和目的地 (即 IPsec 對等端) IP 位址。

  4. [通訊協定] 索引標籤上,選取篩選器將符合的通訊協定類型。

  5. (選擇性) 在 [描述] 索引標籤上,輸入篩選器的描述。此描述可協助您透過篩選器來排序,並允許您快速識別篩選器,而不需要開啟它的內容。

  6. 按一下 [確定]

  7. 重複步驟 4 到步驟 8,將額外的篩選器新增至清單。

  8. [IP 篩選器清單] 對話方塊中,輸入篩選器清單的描述性名稱。按一下 [確定],將篩選器清單新增到規則中。

  9. [新規則內容] 對話方塊中,選取篩選器清單。

使用管理篩選器清單和篩選器動作對話方塊來建立篩選器清單
  1. 以滑鼠右鍵按一下 IP 安全性原則節點,並選取 [管理 IP 篩選器清單和篩選器動作]

  2. [管理 IP 篩選器清單] 索引標籤上,按一下 [新增]

  3. 如果您想要在內容對話方塊中建立篩選器清單,請於 [IP 篩選器清單] 對話方塊中,清除 [使用新增精靈] 核取方塊。如果您想要使用此精靈,請將此核取方塊保留為選取狀態。按一下 [新增]。以下為使用對話方塊來建立篩選器清單的指示。

  4. [IP 篩選器內容] 對話方塊的 [位址] 索引標籤上,選取來源 (本機) IP 位址和目的地 (即 IPsec 對等端) IP 位址。

  5. [通訊協定] 索引標籤上,選取篩選器將符合的通訊協定類型。

  6. (選擇性) 在 [描述] 索引標籤上,輸入篩選器的描述。此描述可協助您透過篩選器來排序,並允許您快速識別篩選器,而不需要開啟它的內容。

  7. 按一下 [確定]

  8. 重複步驟 4 到步驟 8,將額外的篩選器新增至清單。

  9. [IP 篩選器清單] 對話方塊中,輸入篩選器清單的描述性名稱。按一下 [確定],將篩選器清單新增到規則中。

請參閱