IPsec представляет собой систему открытых стандартов, предназначенных для обеспечения частных конфиденциальных подключений через IP-сети с помощью криптографических служб безопасности. Реализация IPSec в Microsoft Windows основана на стандартах, разработанных рабочей группой IPsec IETF (Internet Engineering Task Force).
IPsec определяет доверительную и безопасную передачу данных от IP-адреса источника до IP адреса назначения. О защищаемом трафике должны знать только два компьютера - отправляющий и принимающий. Каждый из компьютеров предпринимает меры безопасности на своей стороне соединения, предполагая, что среда, через которую передаются данные, не безопасна. Для компьютеров, которые только маршрутизируют данные от исходной точки до конечной, поддержка IPSec необязательна, кроме случаев, когда между двумя компьютерами выполняется брандмауэрная фильтрация пакетов или преобразование сетевых адресов (NAT).
Оснасткой политики IP-безопасности можно воспользоваться для создания, редактирования и назначения политик IPsec для данного и удаленных компьютеров.
Примечание | |
Целью данной документации является предоставление информации, достаточной для понимания и использования оснастки политики IP-безопасности. Сведения о разработке и развертывании политик в эту документацию не вошли. |
Общие сведения о политиках IPSec
Политики IPsec используются для настройки служб безопасности IPsec. Эти политики обеспечивают различные уровни защиты для большинства типов трафика большинства существующих сетей. Политики IPsec могут быть настроены в соответствии с требованиями безопасности компьютера, подразделения (OU), домена, сайта или всего предприятия. С помощью оснастки политик IP-безопасности, представленных в данной версии Windows, можно определить политики IPsec для компьютеров через объекты групповой политики (для членов домена) или на локальном и на удаленных компьютерах.
Важно! | |
С помощью оснастки политики IP-безопасности можно создать политики IPsec, применимые к компьютерам, работающим под управлением Windows Vista и более поздних версий Windows, но эта оснастка не использует новые алгоритмы безопасности и другие новые функции Windows Vista и более поздних версий Windows. Для создания политик IPsec для этих компьютеров рекомендуется использовать оснастку Брандмауэр Windows в режиме повышенной безопасности. Оснастка Брандмауэр Windows в режиме повышенной безопасности не создает политики, которые могут быть применены к более ранним версиям Windows. |
Политика IPsec содержит общие настройки и правила политики IPsec. Общие параметры политики IPsec применяются независимо от настройки правил. Они задают название политики, ее описание (для административных целей), а также параметры и методы обмена ключами. Одно или несколько правил IPSec, определяющие типы трафика IPSec, должны проверять способ обработки трафика, способ проверки подлинности прямого соединения IPSec и другие параметры.
Созданные политики применимы к домену, сайту, подразделению и локальному уровню. Одновременно активной на компьютере может быть только одна политика. Политики, распространенные и примененные с помощью объектов групповой политики, отменяют локальные политики.
Задачи оснастки политики IPsec
В этом разделе рассмотрены некоторые основные задачи, выполняемые с помощью оснастки политики IP-безопасности.
Создание политики
Если только политики не создаются на одном компьютере и его прямом соединении IPsec, придется, вероятно, создать набор политик IPsec в соответствии с сетевым окружением. Процесс разработки, создания и развертывания политик может быть сложным, в зависимости от размера домена, однородности компьютеров домена и других факторов.
Обычно процесс выглядит следующим образом.
- Создайте списки IP-фильтров, соответствующих компьютерам,
подсетям и условиям окружения.
- Создайте действия для фильтров, соответствующие потребности
проверки подлинности подключений, применения целостности данных и
шифрования данных. Действие фильтра может быть либо
Блокировка , либо Разрешить, независимо от других
критериев. Приоритет действия блокировки выше других действий.
- Создайте набор политик, соответствующих фильтрации и
необходимым требованиям (безопасности) действий фильтра.
- Сначала внедрите политики, использующие действия фильтра
Разрешить и Блокировка , а затем наблюдайте окружение
IPsec на предмет вопросов, которые могут требовать регулировки этих
политик.
- Разверните политики, используя Согласовать безопасность
действие фильтра с возможностью возврата в чисто текстовые
соединения. Это позволит тестировать работу IPsec в сетевом
окружении без нарушения связи.
- Внося в политики необходимые улучшения, удаляйте, где нужно,
действие возврата к чисто текстовой связи. Это заставит политики
требовать проверки подлинности перед созданием подключения.
- Выявите в окружении неосуществленные соединения, не которые
может указывать внезапное увеличение статистики ошибок согласования
основного режима.
Создание новой политики IPsec |
-
Правой кнопкой мыши щелкните узел политик IP-безопасности и выберите Создать политику безопасности IP.
-
В мастере политик IP-безопасности щелкните Далее.
-
Введите имя и описание (по желанию) политики и щелкните Далее.
-
Установите флажок Использовать правило ответа по умолчанию или оставьте его не установленным и щелкните Далее.
Примечание Правилом отклика по умолчанию можно воспользоваться только для политик, применяемых к Windows XP, Windows Server 2003 и более ранним версиям. Более поздние версии Windows использовать отклик по умолчанию не могут.
-
Используя правило отклика по умолчанию, выберите метод проверки подлинности и щелкните Далее.
Дополнительные сведения о правиле отклика по умолчанию см. в разделе Правила IPsec.
-
Оставьте флажок Изменить свойства установленным и щелкните Далее. Необходимые правила можно добавить в политику.
Добавление или изменение правил политики
Добавление правила политики |
-
Щелкните политику IPsec правой кнопкой мыши и щелкните Свойства.
-
Для создания правила в диалоговом окне свойств снимите флажок Использовать мастер . Чтобы использовать мастер добавления правила, оставьте флажок установленным. Щелкните Добавить. Следующие инструкции предназначены для создания правил с помощью диалогового окна.
-
В диалоговом окне Свойства нового правила на вкладке Список фильтров IP выберите соответствующий список фильтров или щелкните Добавить для добавления нового списка фильтров. Уже созданные списки фильтров появятся в списке списков IP-фильтров. Дополнительные сведения о создании и использовании списков фильтров см. в разделе Списки фильтров.
Примечание Для каждого правила можно использовать только один список фильтров.
-
На вкладке Действие фильтра выберите подходящее действие фильтра или щелкните Добавить для добавления нового действия фильтра. Дополнительные сведения о создании и использовании действий фильтров см. в разделе Действия фильтров.
Примечание Для каждого правила можно использовать только одно действие фильтра.
-
На вкладке Методы проверки подлинности выберите подходящий метод или щелкните Добавить для добавления нового метода. Дополнительные сведения о создании и использовании методов проверки подлинности см. в разделе Проверка подлинности IPsec.
Примечание Для каждого правила можно использовать несколько методов. Методы применяются в порядке появления в списке. Задав используемые сертификаты, поместите их в список в порядке использования.
-
На вкладке Тип подключения выберите тип подключения для применения правила. Дополнительные сведения о типах подключений см. в разделе Тип подключения IPsec.
-
Используя туннель, задайте конечную точку на вкладке Параметры туннеля. По умолчанию туннель не используется. Дополнительные сведения об использовании туннелей см. в разделе Настройки туннеля IPsec. Для правил туннеля нельзя создавать зеркальных копий.
-
Завершив настройки, щелкните ОК.
Изменение правила политики |
-
Щелкните политику IPsec правой кнопкой мыши, а затем в контекстном меню выберите пункт Свойства.
-
В диалоговом окне Свойства политики выберите правило и щелкните Правка.
-
В диалоговом окне Свойства изменения правила на вкладке Список фильтров IP выберите соответствующий список фильтров или щелкните Добавить для добавления нового списка фильтров. Дополнительные сведения о создании и использовании списков фильтров см. в разделе Списки фильтров.
Примечание Для каждого правила можно использовать только один список фильтров.
-
На вкладке Действие фильтра выберите подходящее действие фильтра или щелкните Добавить для добавления нового списка фильтров. Дополнительные сведения о создании и использовании действий фильтров см. в разделе Действия фильтров.
Примечание Для каждого правила можно использовать только одно действие фильтра.
-
На вкладке Методы проверки подлинности выберите подходящий метод или щелкните Добавить для добавления нового метода. Дополнительные сведения о создании и использовании методов проверки подлинности см. в разделе Проверка подлинности IPsec.
Примечание Для каждого правила можно использовать несколько методов. Методы применяются в порядке появления в списке.
-
На вкладке Тип подключения выберите тип подключения для применения правила. Дополнительные сведения о типах подключений см. в разделе Тип подключения IPsec.
-
Используя туннель, задайте конечную точку на вкладке Параметры туннеля. По умолчанию туннель не используется. Дополнительные сведения об использовании туннелей см. в разделе Настройки туннеля IPsec.
-
Завершив настройки, нажмите кнопку ОК.
Назначение политики
Назначение политики на данном компьютере |
-
Щелкните политику правой кнопкой мыши и щелкните Назначить.
Примечания - Одновременно назначенной компьютеру может быть только одна политика. Назначение другой политики приведет к автоматическому переназначению текущей примененной политики. Групповая политика в домене может назначить данному компьютеру другую политику и игнорировать локальную.
- Для успешной политики IPsec компьютер-компьютер следует создать зеркальную политику на другом компьютере и назначить ему эту политику.
- Чтобы применить эту политику ко многим компьютерам, используйте групповую политику.