Exporteren (0) Afdrukken
Alles uitvouwen

IPSec-beleidsregels

IPSec-beleidsregels

Een IPSec-beleid bestaat uit een of meer IPSec-regels die het IPSec-gedrag bepalen. U kunt de IPSec-regels configureren op het tabblad Regels in de eigenschappen van een IPSec-beleid. Elke IPSec-regel bevat de volgende configuratie-items:

  • Filterlijst
    Er is één filterlijst geselecteerd. Deze lijst bevat een of meer vooraf gedefinieerde pakketfilters waarmee de typen verkeer worden beschreven waarop de geconfigureerde filteractie voor deze regel wordt toegepast. U kunt de filterlijst configureren op het tabblad IP-filterlijst in de eigenschappen van een IPSec-regel binnen een IPSec-beleid.
  • Filteractie
    Er is één filteractie geselecteerd. Deze actie bevat het vereiste type actie (toestaan, blokkeren of onderhandelen over beveiliging) voor pakketten die overeenkomen met de filterlijst. Voor de filteractie voor onderhandelen over beveiliging bevatten de onderhandelingsgegevens een of meer beveiligingsmethoden die (in volgorde van voorkeur) worden gebruikt tijdens IKE-onderhandelingen en andere IPSec-instellingen. In elke beveiligingsmethode worden het beveiligingsprotocol (bijvoorbeeld AH of ESP), de specifieke cryptografische en hash-algoritmen en de instellingen voor het opnieuw genereren van sessiesleutels bepaald. U kunt de filteractie configureren op het tabblad Filteractie in de eigenschappen van een IPSec-regel binnen een IPSec-beleid.
  • Verificatiemethoden
    Er worden een of meer verificatiemethoden geconfigureerd (in volgorde van voorkeur) en gebruikt voor de verificatie van IPSec-peers tijdens onderhandelingen voor de hoofdmodus. De beschikbare verificatiemethoden zijn het Kerberos V5-protocol, het gebruik van een certificaat dat is uitgegeven door een bepaalde certificeringsinstantie, of een vooraf gedeelde sleutel. U kunt de onderhandelingsgegevens configureren op het tabblad Verificatiemethoden in de eigenschappen van een IPSec-regel binnen een IPSec-beleid.
    Belangrijk
    • Het gebruik van verificatie met een vooraf gedeelde sleutel wordt niet aanbevolen omdat dit een relatief zwakke verificatiemethode is. Bij verificatie met een vooraf gedeelde sleutel wordt een hoofdsleutel gemaakt die minder veilig is (die een zwakkere vorm van codering biedt) dan certificaten of het Kerberos V5-protocol. Bovendien worden vooraf gedefinieerde sleutels opgeslagen als leesbare tekst. Verificatie met een vooraf gedeelde sleutel is beschikbaar ten behoeve van de interoperabiliteit en het voldoen aan IPSec-standaarden. Gebruik vooraf gedeelde sleutels bij voorkeur alleen voor testdoeleinden. In een productieomgeving kunt u in plaats hiervan beter certificaten of Kerberos V5 gebruiken.
  • Tunneleindpunt
    Hiermee wordt aangegeven of er tunneling wordt toegepast. Als dit het geval is, wordt ook het IP-adres van het tunneleindpunt vermeld. Voor uitgaand verkeer is het tunneleindpunt het IP-adres van de IPSec-tunnelpeer. Voor binnenkomend verkeer is het tunneleindpunt een lokaal IP-adres. U kunt het tunneleindpunt configureren op het tabblad Tunnel-instellingen in de eigenschappen van een IPSec-regel binnen een IPSec-beleid. Zie Tunnelmodus voor meer informatie.
  • Type verbinding
    Hiermee wordt aangegeven of de regel van toepassing is op LAN-verbindingen (Local Area Network), inbelverbindingen of beide. U kunt het type verbinding configureren op het tabblad Type verbinding in de eigenschappen van een IPSec-regel binnen een IPSec-beleid.

De regels voor een beleid worden in IP-beveiligingsbeleid weergegeven in omgekeerde alfabetische volgorde op basis van de naam van de filterlijst die voor elke regel is geselecteerd. Het is niet mogelijk om de volgorde te bepalen waarin de regels in een beleid worden toegepast. De regels worden door het IPSec-stuurprogramma automatisch geordend, waarbij de meest specifieke filterlijst bovenaan komt te staan. Een regel met een filterlijst met afzonderlijke IP-adressen en TCP-poorten komt bijvoorbeeld boven een regel te staan met een filterlijst met alle adressen in een subnet.

Standaardantwoordregel

De standaardantwoordregel, die voor elk beleid kan worden gebruikt, bevat de IP-filterlijst <Dynamisch> en de filteractie Standaardantwoord wanneer de lijst met regels wordt weergegeven met de console Beheer van IP-beveiligingsbeleid. U kunt de standaardantwoordregel niet verwijderen, maar wel uitschakelen. Deze regel is standaard voor elk beleid ingeschakeld.

De standaardantwoordregel wordt gebruikt om ervoor te zorgen dat de computer reageert op verzoeken om beveiligde communicatie. Als er in een actief beleid geen regel is gedefinieerd voor verzoeken om beveiligde communicatie, wordt de standaardantwoordregel toegepast en wordt er onderhandeld over beveiliging. Als er bijvoorbeeld beveiligde communicatie plaatsvindt tussen computer A en computer B, terwijl er op computer B geen binnenkomend filter is gedefinieerd voor computer A, wordt de standaardantwoordregel gebruikt.

U kunt de beveiligings- en verificatiemethoden configureren voor de standaardantwoordregel. Als de filterlijst <Dynamisch> is, is deze lijst niet geconfigureerd maar worden de filters automatisch gemaakt op basis van de ontvangst van IKE-onderhandelingspakketten. De filteractie Standaardantwoord geeft aan dat de actie van het filter (toestaan, blokkeren of onderhandelen over beveiliging) niet kan worden geconfigureerd. Onderhandelen over beveiliging wordt gebruikt. De volgende items kunnen echter wel worden geconfigureerd:

  • De beveiligingsmethoden en de prioriteit op het tabblad Beveiligingsmethoden.
  • De verificatiemethoden en de prioriteit op het tabblad Verificatiemethoden.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft