Виртуальный компьютер с Windows Vista Ultimate

Оснасткой политики IP-безопасности можно воспользоваться  для создания, редактирования и назначения политик IPsec для данного и удаленных  компьютеров. 

Общие сведения о политиках IPSec

Политики IPsec используются для настройки служб безопасности IPsec. Эти политики обеспечивают различные  уровни защиты для большинства типов  трафика большинства существующих сетей. Политики IPsec могут быть настроены  в соответствии с требованиями безопасности компьютера, подразделения (OU), домена, сайта или всего предприятия. С помощью оснастки политик IP-безопасности Система Windows Vista™ и Система Windows Server® Longhorn можно задать политики IPsec для компьютеров через объекты групповой политики (для членов домена) или на локальном и на удаленных компьютерах.

С помощью оснастки политики IP-безопасности можно создать  политики IPsec, применимые к компьютерам, работающим под управлением Система Windows Vista и Система Windows Server Longhorn, но эта оснастка не использует новые алгоритмы безопасности и другие новые функции Система Windows Vista и Система Windows Server Longhorn. Для создания политик IPsec на этих компьютерах рекомендуется использовать оснастку «Брандмауэр Windows с улучшенной безопасностью». Оснастка «Брандмауэр Windows с улучшенной безопасностью» не создает политики, которые могут быть применены к более ранним версиям Windows.

 Политика IPsec содержит общие настройки и  правила политики IPsec. Общие параметры  политики IPsec применяются независимо от настройки правил. Они задают название политики, ее описание (для административных целей), а также параметры и методы обмена ключами. Одно или несколько правил IPSec, определяющие типы трафика IPSec, должны проверять способ обработки трафика, способ проверки подлинности прямого соединения IPSec и другие параметры.

Созданные политики применимы к домену, сайту, подразделению  и локальному уровню. Одновременно активной на компьютере может быть только одна политика. Политики, распространенные и примененные с помощью объектов групповой политики, отменяют локальные политики.

Задачи оснастки политики IPsec

В этом разделе  рассмотрены некоторые основные задачи, выполняемые с помощью  оснастки политики IP-безопасности.

Создание политики

Если только политики не создаются на одном компьютере и его прямом соединении IPsec, придется, вероятно, создать набор политик IPsec в соответствии с сетевым окружением. Процесс разработки, создания и развертывания политик может быть сложным, в зависимости от размера домена, однородности компьютеров домена и других факторов.

Обычно процесс  выглядит следующим образом.

Создайте списки IP-фильтров, соответствующих компьютерам, подсетям и условиям окружения.

Создайте действия для фильтров, соответствующие потребности  проверки подлинности подключений, применения целостности данных и шифрования данных. Действие фильтра может быть либо Блокировка , либо Разрешить, независимо от других критериев. Приоритет действия блокировки выше других действий.

Создайте набор  политик, соответствующих фильтрации и необходимым требованиям (безопасности) действий фильтра.

Сначала внедрите политики, использующие действия фильтра  Разрешить и Блокировка , а затем  наблюдайте окружение IPsec на предмет  вопросов, которые могут требовать  регулировки этих политик.

Разверните политики, используя Согласовать безопасность действие фильтра с возможностью возврата в чисто текстовые соединения. Это позволит тестировать работу IPsec в сетевом окружении без  нарушения связи.

Внося в политики необходимые улучшения, удаляйте, где нужно, действие возврата к чисто текстовой связи. Это заставит политики требовать проверки подлинности перед созданием подключения.

Выявите в окружении  неосуществленные соединения, не которые  может указывать внезапное увеличение статистики ошибок согласования основного режима. 

О правилах IPsec

Политика IPSec состоит  из одного или нескольких правил, определяющих характеристики IPSec. Конфигурация правил IPSec задается на вкладке Правила  в окне свойств политики IPSec. Каждое правило IPSec содержит следующие элементы конфигурации.

Список фильтров

Выбирается единственный список фильтров, содержащий один или  несколько предопределенных фильтров пакетов, описывающих типы трафика, к которым применяется действие фильтра из этого правила. Конфигурация списка фильтров задается на вкладке Список фильтров IP в окне свойств правила IPSec в политике IPSec. Дополнительные сведения о списках фильтров см. в разделе Списки фильтров.

Действие фильтра

Единственное  действие фильтра, включающее тип требуемого действия (разрешить, блокировать или согласовать безопасность) для пакетов, соответствующих списку фильтров. Для действия фильтра «Согласовать безопасность» данные согласования включают один или несколько методов безопасности, которые используются (в порядке приоритетов) при согласованиях IKE, и другие параметры IPSec. Каждый метод безопасности определяет протокол безопасности (такой как AH или ESP), алгоритмы шифрования и используемые параметры регенерации ключа сеанса. Данные согласования настраиваются на вкладке Действие фильтра в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Действия фильтров.

Методы проверки подлинности

Задаются один или несколько методов проверки подлинности (в порядке приоритетов), которые используются для проверки подлинности на обеих сторонах подключения IPSec во время согласований основного режима. Доступными методами проверки подлинности являются протокол Kerberos V5, сертификат, выданный конкретным центром сертификации или предварительный ключ. Данные проверки подлинности настраиваются на вкладке Методы проверки подлинности в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Проверка подлинности IPsec.

Конечная точка  туннеля

Указывает, выполняется  ли туннелирование трафика, и, если выполняется, IP-адрес конечной точки туннеля. Для исходящего трафика конечной точкой туннеля является IP-адрес другой стороны подключения IPSec. Для входящего трафика конечной точкой туннеля является локальный IP-адрес. Конечная точка туннеля задается на вкладке Параметры туннеля в окне свойств правила IPSec в политике IPSec. Следует создать два правила туннеля, по одному на каждое направление трафика. Дополнительные сведения см. в разделе Настройки туннеля IPsec.

Тип подключения

Указывает применение правила к подключениям по локальной сети, удаленного доступа или обоих типов. Тип подключения задается на вкладке Тип подключения в окне свойств правила IPSec в политике IPSec. Дополнительные сведения см. в разделе Тип подключения IPsec.

Правило отклика по умолчанию

Правило отклика  по умолчанию обеспечивает ответ  компьютера на запросы безопасного  соединения. Если в активной политике не определено правило для компьютера, запрашивающего безопасное соединение, применяется правило отклика  по умолчанию и выполняется согласование безопасности. Например, когда выполняется безопасное соединение компьютера A с компьютером B, и компьютер B не имеет фильтра входящего трафика, определенного для компьютера A, применяется правило отклика по умолчанию.

Правило отклика по умолчанию, которое может быть использовано для всех политик, не может быть удалено, но его можно деактивировать. Ее можно включить при создании новых политик IPsec с помощью мастера политики IPs

 Для правила  отклика по умолчанию могут  быть заданы методы проверки подлинности и методы безопасности. Название списка фильтров <Динамический> показывает, что список фильтров не настраивается, а фильтры создаются автоматически на основе полученных пакетов согласования IKE. Название действия фильтра «Отклик по умолчанию» показывает, что действия фильтра (разрешить, блокировать или согласовать безопасность) настроить нельзя.

Брандмауэр Windows с улучшенной безопасностью

Данный раздел представляет собой обзор брандмауэра Windows в режиме повышенной безопасности. В нем содержатся принципиальные сведения о сущности, принципах действия и средствах настройки параметров брандмауэра Windows в режиме повышенной безопасности и параметров IP-безопасности (IPsec).

Что такое брандмауэр Windows в режиме повышенной безопасности?

Брандмауэр Windows в режиме повышенной безопасности объединяет брандмауэр узла и средства IPsec. В  отличие от брандмауэра сетевого периметра, брандмауэр Windows в режиме повышенной безопасности работает на каждом компьютере под управлением  данной версии Windows и обеспечивает локальную защиту от сетевых атак, проникающих в демилитаризованную зону или исходящих из внутренней сети организации. Он также обеспечивает безопасность соединения между компьютерами, что позволяет требовать проверки подлинности и защиты данных при обмене данными.

Брандмауэр Windows в режиме повышенной безопасности - это брандмауэр с отслеживанием  состояния, который проверяет и  фильтрует все пакеты трафика  по протоколу IP версий 4 (IPv4) и 6 (IPv6). По умолчанию  входящий трафик блокируется, если он не является ответом на запрос данного узла (трафик по запросу) или не разрешен специально (то есть создано правило брандмауэра, разрешающее этот трафик). Можно разрешить трафик явно, указав номер порта, имя приложения, имя службы или другие критерии при настройке параметров брандмауэра Windows в режиме повышенной безопасности.

Брандмауэр Windows в режиме повышенной безопасности также  позволяет запрашивать или требовать, чтобы компьютеры перед обменом  данными выполняли взаимную проверку подлинности, а при обмене данными - проверку целостности или шифрование данных.

Как работает брандмауэр Windows в режиме повышенной безопасности?

Брандмауэр Windows в режиме повышенной безопасности использует два набора правил, определяющих его  отклик на входящий и исходящий трафик. Правила брандмауэра определяют, какой трафик разрешен или блокируется. Правила безопасности соединения определяют, каким образом защищен трафик между данным и другими компьютерами. Эти правила вместе с другими параметрами могут быть применены с помощью профиля брандмауэра, применяемого по-разному в зависимости от места подключения компьютера. Кроме того, возможно наблюдение за действиями и правилами брандмауэра.

Правила брандмауэра

Настройка правил брандмауэра определяет, разрешен или  блокирован трафик через брандмауэр Windows в режиме повышенной безопасности. Когда входящий пакет поступает на компьютер, брандмауэр Windows в режиме повышенной безопасности проверяет этот пакет и определяет, отвечает ли он условиям, заданным в правиле брандмауэра. Если пакет соответствует условиям правила, брандмауэр Windows в режиме повышенной безопасности выполняет действие, указанное в данном правиле, то есть либо блокирует, либо разрешает соединение. Если пакет не соответствует условиям правила, брандмауэр Windows в режиме повышенной безопасности отбрасывает этот пакет и создает запись в журнале брандмауэра (если ведение журнала включено). При настройке правила можно выбирать из множества условий. Это могут быть имена приложений, имена системных служб, порты TCP, порты UDP, локальные IP-адреса, удаленные IP-адреса, профиль, тип интерфейса (например, сетевой адаптер), пользователи, группы пользователей, компьютеры, группы компьютеров, протоколы, типы ICMP и т. д. Условия правил суммируются; чем больше условий задано, тем подробнее брандмауэр Windows в режиме повышенной безопасности проверяет входящий трафик. Дополнительные сведения см. в разделе Правила брандмауэра.

Правила безопасности подключений

С помощью правил безопасности подключений можно  задать параметры IPsec для определенных подключений между данным и другими компьютерами. Брандмауэр Windows в режиме повышенной безопасности использует правило для оценки сетевого трафика, а затем блокирует или разрешает сообщения на основании заданных в правиле условий. При некоторых обстоятельствах брандмауэр Windows в режиме повышенной безопасности будет блокировать обмен данными. Если задан параметр, требующий обеспечения безопасности подключения (в обоих направлениях), а компьютеры не могут выполнить взаимную проверку подлинности, подключение будет блокировано. Дополнительные сведения см. в разделе Правила безопасности подключения.

Профили брандмауэра

Правила брандмауэра  и правила безопасности подключения, а также другие параметры могут  быть применены к одному или нескольким профилям брандмауэра. Эти профили затем применяются к компьютеру, в зависимости от места его подключения. Можно настроить профили для подключения компьютера к домену, к частной сети (такой как домашняя сеть) или к общедоступной сети (такой как общедоступная беспроводная сеть). Дополнительные сведения см. в разделе Профили брандмауэра.

Наблюдение

Узел наблюдения отображает сведения о локальном  или удаленном компьютере, к которому установлено подключение. Если оснастка используется для управления объектом групповой политики, а не локальным компьютером, этот узел отсутствует. Дополнительные сведения см. в разделе Настройка брандмауэра Windows с улучшенной безопасностью.

Средства настройки  брандмауэра и IPsec

Существует несколько  способов настройки параметров конфигурации брандмауэра и IPsec, включая следующие.

Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности»

Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности»  представляет собой единый интерфейс  для настройки как параметров брандмауэра, так и параметров IPsec. Кроме того, в узле наблюдения можно посмотреть текущую политику, правила и другие сведения.

Эту оснастку также  можно использовать для настройки  всех параметров политик, применяемых  к компьютерам под управлением  данной версии Windows. Для создания политик IPsec для компьютеров под управлением более ранних версий Windows следует использовать оснастку «Политики IP-безопасности».

 Компонент  панели управления «Брандмауэр  Windows»