Создание пользовательской политики IPSec
Конфигурирование действий фильтров IPSec
У Вас есть только что сконфигурированные входящий и исходящий фильтры для соответствующих TCP/IP пакетов. На следующем этапе необходимо определить действия, применяемые для этих пакетов. Вы можете разрешить, заблокировать или защитить пакет в соответствии с настройками фильтров. Если Вам необходимо защитить передачу данных, оба компьютера должны иметь совместно сконфигурированные политики согласования. Настройки фильтров по умолчанию отлично подходят для проверки различных возможностей протокола IPSec. Если Вам необходимо протестировать специальные возможности, Вы должны создать свое собственное новое действие фильтра.
Существует следующие два способа разрешения взаимодействий с компьютерами, которые не используют IPSec:
- Использование действия фильтра Разрешить (Permit) допускает незащищенную передачу пакетов открытым текстом. Используйте это действие в фильтре, который соответствует разрешенному Вами трафику и используется в Вашем собственном правиле IPSec-политики. Обычно разрешенный трафик используется для таких протоколов как ICMP, DNS и SNMP, либо для разрешения передачи данных конкретного направления, например, на шлюз по умолчанию, на серверы DNS и DHCP или другие системы, которые не используют IPSec.
- Конфигурирование действия Вашего фильтра с использованием настройки Использовать небезопасное соединение (Fall back to unsecured communication). С этой опцией Вы встретитесь в мастере. При выборе этой опцию в мастере, в фильтре будет установлен параметр Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), который разрешает небезопасное соединение с компьютерами, которые не используют IPSec. Применение этой настройки допускает незащищенные соединения с адресатом, понижая при этом уровень безопасности до передачи пакетов открытым текстом, если адресат не ответил на запрос согласования IKE. Если в другой раз клиент ответит на запрос согласования IKE, то процесс согласования будет выполнен и передача данных будет защищена. Если IKE-согласование не было успешно выполнено, то исходящие пакеты, соответствующие фильтру, будут отброшены (заблокированы) на одну минуту, после чего при отправке других пакеты будет произведена попытка выполнить IKE-согласование. Эта настройка влияет только на IKE-согласование, инициируемое компьютером. Она не влияет на компьютер, получающий запросы и, следовательно, на отправку ответов. В документе RFC 2409 не определена методика IKE-согласования того, какой режим будет использоваться (обычное согласование, незащищенный режим или режим открытого текста).
Чтобы сконфигурировать действие фильтра:
- В диалоговом окне Мастера правил безопасности (Security Rule Wizard), изображенном на Рисунке 5, установите флажок в поле Использовать мастер (Use Add Wizard) и нажмите кнопку Добавить (Add).
Рисунок 5 – Убедитесь, что установлен флажок Use Add Wizard - Для продолжения работы Мастера применения фильтра (Filter Action Wizard) нажмите кнопку Далее (Next).
- Введите название этого действия фильтра Partner Filter Action и нажмите Далее (Next).
- В диалоговом окне Общие параметры действия фильтра (Filter Action General Options) выберите Согласовать безопасность (Negotiate Security) и затем нажмите кнопку Далее (Next).
- На следующей странице мастера нажмите Не соединять с компьютерами, не поддерживающими IPSec (Do not communicate with computers that do not support IPSec) и нажмите кнопку Далее (Next).
- В списке методов безопасности выберите Средняя безопасность (AH) (Medium) и нажмите кнопку Далее (Next).
- Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию) и нажмите кнопку Готово (Finish) для завершения работы мастера.
- В диалоговом окне Действие фильтра (Filter Action) установите переключатель в позицию, соответствующую действию фильтра Partner Filter Action, и нажмите кнопку Далее (Next).
- Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и затем нажмите кнопку Готово (Finish).
Вы только что настроили действие фильтра, которое будет использоваться при согласовании с компьютером, с которым будет установлено защищенное соединение. Помните, что Вы можете также использовать действие этого фильтра и в других политиках.
- На отображенной странице Свойства (Properties) нажмите Закрыть (Close). Вы завершили настройку политики IPSec.
Перед началом использования фильтров Вы должны повторить все этапы этой процедуры на компьютере HQ-RES-WRK-02.