Иллюстрированный самоучитель по настройке Windows 2000/2003

Создание пользовательской политики IPSec

Конфигурирование списка фильтров IPSec

Безопасность IP организованная на уровне IP-пакетов применяется при их отправке и получении. При отправке пакетов на основе исходящих фильтров определяется требуемое действие: должен ли пакет быть зашифрован, блокирован или отправлен открытым текстом. Также и при получении пакетов на основании входящих фильтров определяется, какие пакеты должны были быть зашифрованы, блокированы, или приняты компьютером. Имеется два типа фильтров: первый управляет безопасностью транспортного режима IPSec, второй – безопасностью туннельного режима IPSec. Туннельные фильтры имеют более высокий приоритет и применяются первыми, а затем, если не применены другие параметры, будут использованы фильтры транспортного режима. Некоторые типы IP-трафика не могут быть защищены с помощью транспортных фильтров. В их число входят следующие типы трафика:

  • Широковещательные адреса, обычно заканчивающиеся на. 255 с соответствующей маской подсети.
  • Групповые адреса из диапазона 244.0.0.0-239.255.255.255.
  • Протокол RSVP-IP тип 46. Это позволяет RSVP определить запрос QoS (Quality of Service) для трафика, используемого приложениями, который также может быть защищен IPSec.
  • 88 порт UDP, используемый протоколом Kerberos, который сам по себе является защищенным протоколом и который используется в IPSec при согласовании IKE при аутентификации других компьютеров в домене.
  • 500 порт UDP, используемый службой IKE. Этот порт используется при согласовании параметров IKE для безопасности IPSec.

Эти исключения распространяются на фильтры транспортного режима IPSec. Фильтры транспортного режима применяются к пакетам, относящимся к конкретному узлу (хосту), в которых в качестве адреса указан адрес отправителя – компьютера, отправившего пакет, или адрес получателя – компьютера, получившего пакет. Туннели IPSec могут применяться только для защиты одноадресной передачи данных. Фильтры, используемые для туннелей IPSec, должны быть основаны только на адресах, а не на значениях портов или типах протоколов. Если туннельный фильтр основан на конкретном порте или протоколе, то в таком случае фрагменты исходного пакета не будут переданы через туннель, и в результате этого весь пакет будет потерян. Если одноадресные пакеты Kerberos, IKE или RSVP получены на одном интерфейсе и маршрутизируются через другой интерфейс (используя службу маршрутизации и удаленного доступа (Routing and Remote Access Service) или пересылку пакетов), то они не будут исключены из фильтров туннельного режима IPSec и, соответственно, будут переданы через туннель. Фильтры туннельного режима IPSec не могут использоваться при фильтрации широковещательных или групповых пакетов, поскольку такие пакеты не могут быть переданы через туннели IPSec.

Индивидуальные фильтры группируются в объекты – списки фильтров, которые используются для разрешения сложных моделей передачи данных. Эти списки группируются и управляются не индивидуально, а единым объектом – списком фильтров, например "Файл-серверы здания №7" или "Весь блокируемый трафик". Списки фильтров могут совместно использоваться различными правилами IPSec как в пределах одной политики, так и различными IPSec-политиками.

При конфигурировании IP-фильтров для защищенного трафика всегда убеждайтесь, что установлен флажок Отраженный (Mirrored) в диалоговом окне свойств фильтра. Отражение фильтров конфигурируется автоматически как для входящих, так и для исходящих фильтров. Вы будете конфигурировать фильтры на компьютерах, для которых настраивается защищенное соединение. Вы должны сконфигурировать исходящий фильтр, указав Ваш IP-адрес в качестве адреса источника и адрес приемника в качестве адреса назначения. Затем в процессе автоматической настройки отраженного входящего фильтра адрес компьютера Вашего партнера будет определен в качестве адреса источника, а адрес Вашего компьютера – в качестве адреса назначения. В примере, описанном ниже, будет определен только один отраженный список фильтров для сконфигурированного списка фильтров.

Один и тот же список фильтров потребуется определить на обоих компьютерах.

Чтобы сконфигурировать список IP-фильтров:

  1. В диалоговом окне Список фильтров IP (IP Filter List) нажмите кнопку Добавить (Add). Отобразится пустой список IP-фильтров. Введите имя Вашего фильтра Partner Filter.
  2. Убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в правой части окна, и нажмите кнопку Добавить (Add). Будет запущен Мастер фильтров IP (IP Filter Wizard).
  3. Нажмите кнопку Далее (Next) для продолжения.
  4. Из списка исходных адресов выберите Мой IP-адрес (My IP Address), который используется по умолчанию в качестве адреса источника, и нажмите кнопку Далее (Next).
  5. Из выпадающего списка адреса назначения выберите Определенный IP-адрес (A Specific IP address), введите IP-адрес второго компьютера и затем нажмите кнопку Далее (Next).
  6. Выберите тип протокола Любой (Any) и нажмите Далее (Next).
  7. Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и нажмите кнопку Готово (Finish).
  8. Закройте диалоговое окно Список фильтров IP (IP Filter List), нажав кнопку Закрыть (Close). Вы вернетесь в Мастер правил безопасности (New Rule Wizard).
  9. В диалоговом окне Списки фильтров IP (IP Filter List) установите переключатель в позицию Partner Filter.

    Иллюстрированный самоучитель по настройке Windows 2000/2003 › Пошаговое руководство по использованию протокола IPSec › Создание пользовательской политики IPSec
    Рисунок 4 – Выбор фильтра Partner

  10. Нажмите кнопку Далее (Next).

Прочтите следующий раздел перед выполнением процедуры конфигурирования действия фильтров.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.