За исключением случая правил блокировки или разрешения трафика, список фильтров IP запускает согласование безопасности на основе совпадения источника, назначения и типа трафика IP. Этот тип фильтрации пакетов IP позволяет сетевому администратору точно определить трафик IP, который будет защищен. Каждый список фильтров IP содержит один или несколько фильтров, которые определяют IP-адреса и типы трафика. Один список фильтров IP может использоваться для нескольких сценариев связи.
IPsec требует как входящие, так и исходящие фильтры между компьютерами, заданными в списке фильтров, за исключением правил для блокировки или разрешения трафика. Фильтры входящего трафика применяются для входящего трафика, позволяя принимающему компьютеру отвечать на запросы безопасной связи или сверять трафик со списком фильтров IP. Фильтры исходящего трафика применяются к трафику, отправляемому с компьютера, выполняя согласование безопасности перед его отправкой.
Флажок Зеркальный позволяет автоматически создать два фильтра на основе настроек фильтров: по одному для входящего и исходящего трафика конечного узла. Это допускает два способа взаимодействия с другими компьютерами.
Настройки списка фильтров
Списки фильтров (и действия фильтров) могут быть определены при создании политики или перед созданием политики. Списки фильтров доступны для любой политики. Чтобы задать список фильтров, щелкните правой кнопкой мыши узел политики IP-безопасности и выберите Управление списками IP-фильтра и действиями фильтра.
Каждый фильтр определяет подмножество входящего и исходящего сетевого трафика, на который влияет действие фильтра, либо защищая трафик (с помощью проверки подлинности и целостности или шифрования данных), либо полностью блокируя, либо разрешая целиком (без проверки подлинности и целостности и шифрования). Фильтр должен охватывать весь трафик, к которому применяется соответствующее правило. Ниже перечислены параметры фильтра.
- Адреса источника и назначения пакета
IP. Допускается настройка любого IP-адреса, назначенного
участнику соединения IPSec, одного IP-адреса, IP-адресов по имени
DNS или группы адресов для задания масок IP-подсетей.
- Протокол для передачи пакетов.
Автоматически охватывает все протоколы семейства TCP/IP. Однако для
удовлетворения особых потребностей можно указать отдельный
протокол, включая настраиваемый протокол.
- Исходный порт и порт назначения для
протоколов TCP и UDP. По умолчанию охвачены все порты TCP и
UDP, но можно указать только конкретный порт TCP или UDP.
Важно! | |
Разрешение имен DNS используется только при создании списка фильтра и впоследствии не обновляется. То есть при изменении IP-адреса политика не обновляется. Для обновления IP-адреса следует редактировать политику. |
Создание списка фильтра с помощью диалогового окна свойств новых правил |
-
В диалоговом окне Свойства политики безопасности IP выберите корректное правило IP-безопасности и щелкните Изменить, или создайте новое правило, щелкнув Добавить.
-
На вкладке Список фильтров IP снимите флажок Использовать мастер, чтобы создать действие фильтра в диалоговом окне свойств. Для использования мастера оставьте флажок установленным. Щелкните Добавить. Следующие инструкции предназначены для создания списка фильтров с помощью диалогового окна.
-
На вкладке Адреса диалогового окна Свойства фильтров IP выберите локальный IP-адрес и адрес компьютера назначения (сторону IPsec).
-
На вкладке Протокол выберите тип протокола, соответствующего фильтру.
-
(Дополнительно.) На вкладке Описание введите описание фильтра. Это описание может помочь сортировать фильтры и быстро идентифицировать фильтр, не открывая его свойств.
-
Щелкните ОК.
-
Для добавления фильтров в список повторите шаги с 4-го по 8-й.
-
В диалоговом окне Список фильтров IP введите описательное имя для списка фильтров. Щелкните ОК для добавления списка фильтров к правилу.
-
В диалоговом окне Свойства нового правила выберите список фильтров.
Создание списка фильтров с помощью диалогового окна управления списками фильтра и действиями фильтра |
-
Правой кнопкой мыши щелкните узел политик IP-безопасности и выберите Управление списками IP-фильтра и действиями фильтра.
-
На вкладке Управление списками фильтров IP щелкните Добавить.
-
На вкладке Список фильтров IP снимите флажок Использовать мастер, чтобы создать список фильтров в диалоговом окне свойств. Для использования мастера оставьте флажок установленным. Щелкните Добавить. Следующие инструкции предназначены для создания списка фильтров с помощью диалогового окна.
-
На вкладке Адреса диалогового окна Свойства фильтров IP выберите локальный IP-адрес и адрес компьютера назначения (сторону IPsec).
-
На вкладке Протокол выберите тип протокола, соответствующего фильтру.
-
(Дополнительно) На вкладке Описание введите описание фильтра. Это описание может помочь сортировать фильтры и быстро идентифицировать фильтр, не открывая его свойств.
-
Нажмите кнопку ОК.
-
Для добавления фильтров в список повторите шаги с 4-го по 8-й.
-
В диалоговом окне Список фильтров IP введите описательное имя для списка фильтров. Нажмите кнопку ОК, чтобы добавить список фильтров к правилу.