连接安全规则向导:隧道终结点页 - 自定义配置

应用到: Windows 7, Windows Server 2008 R2

使用此向导页可以为 IPsec 隧道规则配置终结点选项。

如果选择“隧道类型”页上的“自定义配置”,可以配置“隧道终结点”页上隧道的所有详细信息。

下图显示了可以使用此向导页配置的组件。

64ce07a8-52a2-4d69-a392-2cae596fef27 打开此向导页的步骤
  1. 在高级安全 Windows 防火墙 MMC 管理单元中,右键单击“连接安全规则”,然后单击“新建规则”

  2. “规则类型”页,选择“隧道”

  3. “步骤”中单击“隧道类型”,然后选择“自定义配置”

  4. 单击“下一步”,直到到达“隧道终结点”页。

终结点 1 中的计算机

终结点 1 是隧道本地端的计算机集合,必须可以向作为终结点 2 一部分的计算机发送数据以及从中接收数据。单击“添加”可以使用“IP 地址”对话框添加单个 IP 地址、IP 子网地址、IP 地址范围或预定义计算机集。若要更改列表中的某个条目,请选择该项目,然后单击“编辑”。若要删除某项,请选择该项目,然后单击“删除”

什么是本地隧道终结点(最接近终结点 1 中的计算机)?

本地隧道终结点是终结点 1 中的计算机向其发送网络数据包的网关,这些数据包发到终结点 2 中的计算机。本地隧道终结点接受来自终结点 1 中计算机的网络数据包,然后在发往并路由到远程隧道终结点的新网络数据包中对其进行解封。远程隧道终结点提取解封的原始数据包,将其放置在连接到终结点 2 中计算机的网络上,然后将数据包路由到其最终目标位置。

可以指定 Internet 协议版本 4 (IPv4) 地址、Internet 协议版本 6 (IPv6) 地址,或两者同时指定。若要添加地址,单击“编辑”,提供“自定义 IPsec 隧道设置”对话框中所需的信息。

Important重要
如果指定“任意”,则终结点 1 中的计算机也是连接的本地隧道终结点。终结点 1 计算机解封自身的网络数据包并将其路由到远程隧道终结点,此终结点提取数据并将其路由到终结点 2 中的目标计算机。

note注意
隧道每一端的 IP 版本地址必须匹配。例如,如果您在一端指定 IPv4 地址,则另一端也必须具有 IPv4 地址。可以同时指定 IPv4 和 IPv6 地址,但如果在一端执行此操作,则必须也在另一端执行此操作。

应用 IPSec 隧道授权

选择此选项可以指定终结点 1 中的计算机或用户必须使用本地隧道终结点进行身份验证,然后才能通过隧道发送所有数据包。若要指定已授权的计算机或用户通过隧道发送流量,请按照下列步骤操作:

本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。

指定授权或拒绝用户和计算机通过隧道发送网络流量权限的步骤
  1. 在高级安全 Windows 防火墙MMC 管理单元的导航窗格中,选择“高级安全 Windows 防火墙”

  2. “概述”中,单击“Windows 防火墙属性”

  3. 选择“IPsec 设置”选项卡。

  4. “IPsec 隧道授权”中,单击“高级”,然后单击“自定义”

  5. 向列表中添加适合您设计的用户和计算机。有关详细信息,请参阅对话框:自定义 IPsec 隧道身份验证

什么是远程隧道终结点(最接近终结点 2 中的计算机)?

远程隧道终结点是本地隧道终结点向其发送网络数据包的网关,这些数据包发到终结点 2 中的计算机。远程隧道终结点接收来自本地隧道计算机的网络数据包,提取并封装始数据包,然后将其路由到终结点 2 中的目标计算机。

可以指定 IPv4 地址、IPv6 地址,或两者同时指定。若要添加地址,单击“编辑”,提供“自定义 IPsec 隧道设置”对话框中所需的信息。

Important重要
如果指定“任意”,则接收数据的终结点 2 中的计算机也作为远程隧道终结点。然后终结点 2 计算机提取并处理原始数据包。

note注意
隧道每一端的 IP 版本地址必须匹配。例如,如果您在一端指定 IPv4 地址,则另一端也必须具有 IPv4 地址。可以同时指定 IPv4 和 IPv6 地址,但如果在一端执行此操作,则必须也在另一端执行此操作。

终结点 2 中的计算机

终结点 2 是隧道远端的计算机集合,必须可以向作为终结点 1 一部分的计算机发送数据以及从中接收数据。单击“添加”可以使用“IP 地址”对话框添加单个 IP 地址、IP 子网地址、IP 地址范围或预定义计算机集。若要更改列表中的某个条目,请选择该项目,然后单击“编辑”。若要删除某项,请选择该项目,然后单击“删除”

如何更改这些设置

创建连接安全规则后,可以在“连接安全规则属性”对话框中更改这些设置。双击“连接安全规则”中的某个规则时会打开此对话框。若要更改终结点 1 和终结点 2 中的计算机,请选择“计算机”选项卡。若要更改授权设置或作为隧道终结点的计算机,请选择“高级”选项卡,然后在“IPsec 隧道”下单击“自定义”

其他参考

社区附加资源

添加
显示: