Exportar (0) Imprimir
Expandir Todos
0 de 1 classificaram como útil - Classificar este tópico

Regras da Política IPSec

Regras da política IPSec

Uma política IPSec consiste numa ou mais regras que determinam o comportamento IPSec. As regras IPSec são configuradas no separador Regras nas propriedades de uma política IPSec. Cada regra IPSec contém os seguintes itens de configuração:

  • Lista de filtros
    É seleccionada uma única lista de filtros contendo um ou mais filtros de pacote predefinidos que descrevem os tipos de tráfego aos quais se aplica a acção de filtro configurada para esta regra. A lista de filtros é configurada no separador Lista de Filtros IP nas propriedades de uma regra IPSec numa política IPSec.
  • Acção do filtro
    É seleccionada uma única acção de filtro que inclui o tipo de acção necessário (Permitir, Bloquear ou Negociar Segurança) para pacotes que correspondam à lista de filtros. Para a acção de filtro Negociar Segurança, os dados de negociação contêm um ou mais métodos de segurança que são utilizados (por ordem de preferência) durante as negociações IKE e outras definições IPSec. Cada método de segurança determina o protocolo de segurança (como AH ou ESP), os algoritmos criptográficos e hash específicos e as definições de regeneração de chave de sessão utilizados. A acção de filtro é configurada no separador Acção de Filtro nas propriedades de uma regra IPSec numa política IPSec.
  • Métodos de autenticação
    Um ou mais métodos de autenticação são configurados (por ordem de preferência) e utilizados para autenticação de peers IPSec durante as negociações em modo principal. Os métodos de autenticação disponíveis são o protocolo Kerberos V5, a utilização de um certificado emitido por uma autoridade de certificação especificada ou, ainda, uma chave pré-partilhada. Os dados de negociação são configurados no separador Métodos de Autenticação nas propriedades de uma regra IPSec numa política IPSec.
    Importante
    • A utilização da autenticação por chave pré-partilhada não é recomendada, uma vez que se trata de um método de autenticação relativamente fraco. A autenticação por chave pré-partilhada cria uma chave principal que é menos segura (poderá produzir uma forma de encriptação mais fraca) do que os certificados ou do que o protocolo Kerberos V5. Além disso, as chaves pré-partilhadas são armazenadas em texto simples. A autenticação por chave pré-partilhada é fornecida para fins de interoperabilidade e para respeitar as normas IPSec. É recomendado que utilize chaves pré-partilhadas apenas para efeitos de teste e que, em alternativa, utilize os certificados ou o protocolo Kerberos V5 num ambiente de produção.
  • Ponto final do túnel
    Especifica se o tráfego é transmitido por túnel e, em caso afirmativo, o endereço IP do ponto final do túnel. Para tráfego de saída, o ponto final do túnel é o endereço IP do ponto de túnel IPSec. Para tráfego de entrada, o ponto final do túnel é um endereço IP local. O ponto final do túnel é configurado no separador Configuração do Túnel nas propriedades de uma regra IPSec numa política IPSec. Para mais informações, consulte Modo de túnel.
  • Tipo de ligação
    Especifica se uma regra se aplica a ligações de rede local (LAN, Local Area Network), a ligações de acesso telefónico ou a ambas. O tipo de ligação é configurado no separador Tipo de Ligação nas propriedades de uma regra IPSec numa política IPSec.

As regras para uma política são apresentadas em Políticas de Segurança IP por ordem alfabética inversa, com base no nome da lista de filtros seleccionada para cada regra. Não existe qualquer método para especificar uma ordem pela qual as regras devem ser aplicadas numa política. O controlador IPSec ordena automaticamente as regras com base na lista de filtros mais específica para a menos específica. Por exemplo, o controlador IPSec aplicaria uma regra contendo uma lista de filtros que tivesse especificado endereços IP e portas TCP individuais, antes de aplicar uma regra contendo uma lista de filtros que tivesse especificado todos os endereços numa sub-rede.

Regra de resposta predefinida

A regra de resposta predefinida, que pode ser utilizada para todas as políticas, inclui a lista de filtros IP de <Dinâmica> e a acção de filtro de Resposta Predefinida, quando a lista de regras é visualizada com a consola Gestão de Políticas de Segurança para IP. A regra de resposta predefinida não pode ser eliminada, mas pode ser desactivada. Por predefinição, está activada para todas as políticas.

A regra de resposta predefinida é utilizada para garantir que o computador responde a pedidos de comunicação segura. Se uma política activa não tiver uma regra definida para um computador que pede comunicação segura, a regra de resposta predefinida será aplicada e a segurança negociada. Por exemplo, quando o Computador A comunica de forma segura com o Computador B e este não tem um filtro de entrada definido para o Computador A, é utilizada a regra de resposta predefinida.

Os métodos de segurança e de autenticação podem ser configurados para a regra de resposta predefinida. A lista de filtros de <Dinâmica> indica que a lista de filtros não está configurada, mas que os filtros são criados automaticamente com base na recepção de pacotes de negociação IKE. A acção de filtro de Resposta Predefinida indica que a acção do filtro (Permitir, Bloquear ou Negociar Segurança) não pode ser configurada. Será utilizada a acção de filtro Negociar segurança. No entanto, pode configurar:

  • Os métodos de segurança e a respectiva ordem de preferência no separador Métodos de Segurança.
  • Os métodos de autenticação e a respectiva ordem de preferência no separador Métodos de Autenticação.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.