Когда в правиле брандмауэра выбирается Разрешить только безопасное подключение, это означает, что сетевые пакеты должны быть защищены протоколом IPsec, иначе пакет не будет отвечать данному правилу. Нажав рядом с этим параметром кнопку Настроить, можно установить параметры, позволяющие задать требуемый тип защиты IPsec.

В этом диалоговом окне необходимо выбрать один из трех параметров, описанных ниже. Последний параметр, Переопределить правила блокировки, можно выбрать независимо от других параметров.

Чтобы открыть это диалоговое окно

Разрешить подключение, если оно прошло проверку подлинности и целостности

Это значение используется по умолчанию. Данный параметр требует, чтобы разрешаемые сетевые пакеты использовали проверку подлинности и алгоритмы проверки целостности IPsec, как это определено в отдельном правиле безопасности подключения. Если сетевой пакет, отвечающий всем другим условиям, либо не проходит проверку подлинности, либо не защищен алгоритмом проверки целостности, следовательно, он не отвечает данному правилу и блокируется.

Примечание

Этот параметр поддерживается только на компьютерах, работающих под управлением Windows Vista или более поздних версий Windows.

Требовать шифрования подключения

Этот параметр требует, чтобы разрешаемые сетевые пакеты использовали шифрование данных, как это определено в отдельном правиле безопасности подключения. Если сетевой пакет, отвечающий всем другим условиям, не зашифрован, следовательно, он не отвечает данному правилу и блокируется. Когда этот параметр включен, Брандмауэр Windows в режиме повышенной безопасности использует настройки диалогового окна Настройка параметров защиты данных.

Разрешить компьютерам динамически согласовывать шифрование

Этот параметр доступен только правилам для входящих подключений. Используйте его, чтобы разрешить сетевое подключения после успешной проверки подлинности для отправки и приема незашифрованного сетевого трафика во время согласования алгоритмов шифрования.

Примечание по безопасности

Пока выполняется согласование шифрования, сетевой трафик передается в виде открытого текста. Не используйте этот параметр, если сетевой трафик, пересылаемый по соединению в течение этого периода, достаточно конфиденциален, чтобы не передаваться открытым текстом.

Разрешить подключению использовать инкапсуляцию нуля

Этот параметр требует, чтобы разрешаемые сетевые пакеты использовали проверку подлинности IPsec, но не требует защиту целостности или шифрование данных. Рекомендуется использовать этот параметр, если имеется сетевое оборудование или программное обеспечение, которое несовместимо с протоколами обеспечения целостности ESP или AH.

Примечание

Этот параметр поддерживается только на компьютерах, работающих под управлением Windows 7 или Windows Server 2008 R2. Он не применим к компьютерам, работающим под управлением более ранних версий Windows.

Заменять правила блокирования

Этот параметр позволяет удовлетворяющим этому правилу сетевым пакетам игнорировать любые блокирующие правила брандмауэра. Этот параметр также называется обходом проверки подлинности. Обычно правила, явно блокирующие подключения, имеют преимущество перед правилами, разрешающими подключения. При использовании этого параметра подключение будет разрешено, даже если другое правило должно было бы его заблокировать. Фактически заявляется, что сетевой трафик, соответствующий этому правилу, разрешается, поскольку он прошел проверку подлинности как поступающий от авторизованного или доверенного пользователя или компьютера.

Это правило обычно используется для того, чтобы разрешить доверенным программам, например сетевым сканерам уязвимостей и другим сетевым средствам, работать без ограничений. Хотя типичная конфигурация брандмауэра не блокирует сетевой трафик от таких устройств, можно создать правило, которое будет идентифицировать авторизованные компьютеры. Параметр Переопределить правила блокировки разрешает трафик только от этих авторизованных компьютеров. Если этот параметр отключен, любое блокирующее правило брандмауэра с аналогичными условиями будет иметь приоритет, и все подключения будут блокированы.

При выборе этого параметра необходимо указать для авторизации по крайней мере один компьютер или группу компьютеров на странице Компьютеры мастера создания нового правила брандмауэра или на вкладке Компьютеры диалогового окна Свойства правила брандмауэра.

Примечание

Если в диалоговом окне Свойства брандмауэра Windows в режиме повышенной безопасности установлен рабочий режим брандмауэра Блокировать все подключения, то блокируется весь сетевой трафик, даже если этот параметр установлен.

См. также