Windows 2000 Server IP 安全配置全解析
1. 过滤操作基础
过滤操作(Filter Actions)用于定义安全类型以及建立安全的方法。主要方法有以下几种:
-允许(Permit):阻止 IP 安全协商。若你不想对该规则适用的流量进行安全保护,此选项较为合适。
-阻止(Block):阻止 IP 过滤列表中指定计算机的所有流量。
-协商安全(Negotiate security):允许计算机使用一系列安全方法来确定通信的安全级别。该列表按优先级降序排列。若选择此操作,两台计算机必须就列表中的安全参数达成一致,且条目将按优先级顺序依次处理,首个共同的安全方法将被执行。
你可以点击“过滤操作”选项卡,再点击“请求安全(可选)”来查看这些选项。在对话框底部的复选框中:
- “接受不安全通信,但始终使用 IPSec 响应”:允许其他计算机发起的不安全通信,但要求应用此策略的计算机在回复或发起通信时始终使用安全通信,这本质上就是安全策略的定义。
- “允许与不支持 IPSec 的计算机进行不安全通信”:允许与其他计算机进行不安全通信。若 IP 过滤列表中的计算机未启用 IPSec,此选项适用。不过,若安全协商失败,将禁用该规则适用的所有通信的 IPSec。
其中,会话密钥的“完美前向保密(Perfect Forward Secrecy)”或许是最重要的选项。选择此选项可确保会话密钥或密钥材料不被重复使用,且会话密钥生命周期到期后将进行新的 Diffie - Hellman 交换。
