Мастер создания правила для нового безопасного подключения используется для создания правил IPsec, отвечающим различным целям обеспечения безопасности сети. На этой странице выбирается тип правила, которое необходимо создать.
Мастер предоставляет четыре стандартных типа правил. Также можно создать настраиваемое правило.
|
Примечание |
|
Рекомендуется присваивать каждому правилу безопасности для подключения уникальное имя для того, чтобы позднее можно было использовать программу командной строки Netsh для управления этими правилами. Не назначайте правилу безопасности имя «all», поскольку оно конфликтует с ключевым словом all программы netsh. |
|
Чтобы перейти к этой странице мастера |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.
-
Откроется страница Тип правила.
Изоляция
Правило изоляции запрещает подключения, основанные на определенных пользователем критериях проверки подлинности. Этот тип правила можно использовать для изоляции компьютеров внутри домена от компьютеров за пределами домена, например компьютеров Интернета. При выборе этого типа правила, помимо страницы Имя, в мастере становятся доступными следующие страницы:
Исключение из проверки подлинности
Этот параметр используется для создания правила, которое освобождает указанные компьютеры от проверки подлинности, независимо от других правил безопасности подключения. Обычно этот тип правила используется для предоставления доступа к компьютерам инфраструктуры, например контроллерам домена Active Directory, центрам сертификации или DHCP-серверам, с которыми данный компьютер будет взаимодействовать до выполнения проверки подлинности. Он пригоден и для компьютеров, которые не могут использовать форму проверки подлинности, настроенную для данных политики и профиля.
При выборе этого типа правила, помимо страницы Имя, в мастере становятся доступными следующие страницы:
|
|
Примечание |
|
Хотя проверка подлинности для этих компьютеров не выполняется, сетевой трафик от них по-прежнему может блокироваться брандмауэром Windows, если правило брандмауэра не разрешает им установить соединение. |
Сервер - сервер
Данный тип правила следует использовать для выбора метода проверки подлинности между двумя определенными компьютерами, двумя группами компьютеров, двумя подсетями или определенным компьютером и группой компьютеров или подсетью. Это правило пригодно для проверки подлинности трафика между сервером базы данных и компьютером уровня приложений или между компьютером инфраструктуры и другим сервером. Это правило аналогично типу правила изоляции, но при этом будет доступна страница Конечные точки, чтобы можно было указать компьютеры, на которых распространяется данное правило.
При выборе этого типа правила, помимо страницы Имя, в мастере становятся доступными следующие страницы:
Туннель
Этот тип правила следует использовать для обеспечения безопасности связи двух компьютеров по протоколу IPsec, используя туннельный, а не транспортный режим. В туннельном режиме весь сетевой пакет встраивается в другой сетевой пакет, который передается между двумя указанными конечными точками. Для каждой конечной точки можно задать один компьютер, который будет получать сетевой трафик, переданный через туннель, либо можно указать компьютер-шлюз, подключенный к частной сети, в которую перенаправляется принимаемый трафик после того, как принимающая конечная точка туннеля извлечет этот трафик из туннеля.
При выборе этого типа правила, помимо страницы Имя, в мастере становятся доступными следующие страницы:
Специальный
Этот тип следует использовать для создания правила, требующего специальные параметры. Данный параметр разрешает все страницы мастера, за исключением тех, которые используются только для создания правил туннеля.