每個規則會定義一個驗證方法清單。而每個驗證方法則定義了在相關規則適用的通訊中如何驗證識別身分的需求。方法是由每個對等端,以它們所列出的順序來嘗試。兩個對等端必須至少有一個共用的驗證方法,否則通訊將失敗。建立多重驗證方法可以增加找到二台電腦之間的共用方法的機會。

附註

這些方法的順序也相當重要,因為只會嘗試第一個最常用的方法,如果它驗證失敗,將不會嘗試清單中的任何其他方法,即使這些方法可能成功。

驗證方法

不論您所設定的驗證方法數目有多少,兩台電腦之間只能指定一個驗證方法。如果您有可套用到同一對電腦的多重規則,您必須在這些規則中設定驗證方法清單,好讓該對電腦可使用相同的方法。例如,如果兩台電腦之間的規則僅指定 Kerberos 來驗證,而且只篩選 TCP 資料,而在其他規則中則是只指定 [驗證] 來驗證,並只篩選 UDP 資料時,驗證將會失敗。驗證方法是設定於 [編輯規則內容][新增規則內容] 內容工作表頁的 [驗證方法] 中。

  • Kerberos 版本 5 驗證通訊協定是預設的驗證技術。此方法可用於執行 Kerberos 版本 5 驗證通訊協定的任何電腦 (需屬於同一網域或受信任網域的成員)。此方法對於使用網際網路通訊協定安全性 (IPsec) 的網域獨立性是相當有用的。

  • 公開金鑰憑證應在下列狀況下使用:含有網際網路存取、公司資源的遠端存取、外部公司夥伴通訊,或未執行 Kerberos V5 驗證通訊協定的電腦。此需要設定至少一個信任的憑證授權單位 (CA)。此版本的 Windows 支援 X.509 版本 3 憑證,包括由商業憑證授權單位所產生的 CA 憑證。

  • 可以指定預先共用金鑰。這是兩位使用者事先同意的共用、秘密金鑰。它使用起來簡單,且不需要用戶端執行 Kerberos V5 驗證通訊協定或有公開金鑰憑證。雙方必須手動設定 IPsec,以使用該預先共用金鑰。這是驗證獨立電腦或任何未使用 Kerberos V5 驗證通訊協定之電腦的簡單方法。預先共用金鑰僅用於驗證保護;它不能用於資料完整性或加密。

重要

預先共用金鑰是以純文字形式儲存,而且不被視為是安全的方法。預先共用金鑰應僅用於測試目的。

請參閱