Artikel-ID: 313190 - Geändert am: Montag, 24. Januar 2005 - Version: 2.1

So verwenden Sie IPSec-IP-Filterlisten in Windows 2000

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D313190
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
313190  (http://support.microsoft.com/kb/313190/EN-US/ ) How To Use IPSec IP Filter Lists in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Mit IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation auf Windows 2000-Computern sichern. IPSec wird für Kommunikationsvorgänge eingesetzt, die den IPSec-Richtlinien unterliegen. Die IPSec-Richtlinien können Sie dabei unterstützen, zu ermitteln, wann Sie die sichere IPSec-Kommunikation zwischen Computern einsetzen sollten. Außerdem können Sie mit IPSec-Richtlinien steuern, welche ein- oder ausgehenden Pakete die Netzwerkschnittstelle eines Computers passieren dürfen.

IPSec-Richtlinien basieren auf zwei Elementen:
  • IP-Filterlisten

    -und-
  • IP-Filteraktionen
In einer IP-Filterliste sind Protokolle und Ordner verzeichnet. Sie können zum Beispiel einen Filterlisteneintrag erstellen, der allen Computern den Zugriff auf TCP-Port 80 auf der lokalen Schnittstelle ermöglicht. Ein weiterer Eintrag in derselben Filterliste könnte den Zugriff auf TCP-Port 25 auf der lokalen Schnittstelle ermöglichen und ein dritter Filterlisteneintrag den Zugriff auf UDP-Port 53 auf der lokalen Schnittstelle.

Gibt es für ein bei der Computerschnittstelle ankommendes Paket einen passenden Eintrag in der Filterliste, führt der IPSec-Richtlinien-Agent die Filteraktion aus, die Sie der Filterliste zugewiesen haben. Sie könnten der vorstehend genannten Filterliste zum Beispiel eine Blockier-Filteraktion zuweisen. Wenn Sie dies tun, werden alle Pakete blockiert, die für TCP-Port 80, TCP-Port 25 oder UDP-Port 53 bestimmt sind. Wenn Sie dieser Filterliste jedoch die Filteraktion "Zulassen" zuweisen, können die Pakete passieren, die für TCP-Port 80, TCP-Port 25 oder UDP-Port 53 bestimmt sind.

Die Verwendung von IPSec-Filterlisten und -Filteraktionen ist eine effektive Methode der Zugriffssteuerung auf allen Schnittstellen. Beachten Sie , dass IPSec-Richtlinien auf alle Schnittstellen eines mehrfach vernetzten Computers angewendet werden. Es gibt kein Verfahren, IPSec-Richtlinien nur auf bestimmte Schnittstellen anwenden zu lassen.

Windows 2000 enthält die beiden folgenden standardmäßigen IP-Filterlisten:
  • Gesamter IP-Verkehr

    -und-
  • Gesamter IP-Verkehr
Es gibt drei standardmäßige Filteraktionen:
  • Zulassen

    -und-
  • Sicherheit anfordern (optional)

    -und-
  • Sicherheit erforderlich
Zum Anfang

Erstellen einer IPSec-Filterliste

Gehen Sie folgendermaßen vor, um eine IPSec-Filterliste zu erstellen, die auf eingehenden Verkehr bei den TCP-Ports 80 und 25 angewendet wird:
  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie Sicherheitseinstellungen.
  3. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf IP-Sicherheitsrichtlinien und dann mit der linken Maustaste auf IP-Filter verwalten.
  4. Klicken Sie im Dialogfeld IP-Filterlisten und Filteraktionen verwalten auf IP-Filterlisten verwalten. Klicken Sie danach auf Hinzufügen.
  5. Geben Sie TCP 80 und 25 eingehend in das Feld Name und danach Eingehenden Verkehr für TCP-Ports 80 und 25 zulassen in das Feld Beschreibung ein.
  6. Deaktivieren Sie das Kontrollkästchen Assistent verwenden. Klicken Sie dann auf Hinzufügen, um einen neuen Filterlisteneintrag hinzuzufügen.
  7. Klicken Sie auf die Registerkarte Adressierung.
  8. Klicken Sie im Feld Quelladresse auf Beliebige IP-Adresse.
  9. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Bei dieser Konfiguration wird der Filter auf eingehende Pakete angewendet.
  10. Deaktivieren Sie das Kontrollkästchen Gespiegelt.
  11. Klicken Sie auf die Registerkarte Protokoll.
  12. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP.
  13. Klicken Sie auf Von jedem Port und danach auf Zu diesem Port.
  14. In das Feld Zu diesem Port geben Sie 80 ein.
  15. Klicken Sie auf Übernehmen und anschließend auf OK.
  16. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.
  17. Klicken Sie auf die Registerkarte Adressierung.
  18. Klicken Sie im Feld Quelladresse auf Beliebige IP-Adresse.
  19. Klicken Sie im Feld Zieladresse auf Eigene IP-Adresse. Bei dieser Konfiguration wird der Filter auf eingehende Pakete angewendet.
  20. Aktivieren Sie das Kontrollkästchen Gespiegelt. Wenn Sie dies tun, wird ein Filter erstellt, bei dem im Vergleich zum vorherigen Filter die IP-Quelladressen und IP-Zieladressen vertauscht sind.
  21. Klicken Sie auf die Registerkarte Protokoll.
  22. Klicken Sie im Feld Wählen Sie einen Protokolltyp auf TCP.
  23. Klicken Sie auf Von jedem Port und danach auf Zu diesem Port.
  24. In das Feld Zu diesem Port geben Sie 25 ein.
  25. Klicken Sie auf Übernehmen und anschließend auf OK.
  26. Klicken Sie im Dialogfeld IP-Filterliste auf Schließen.
Zum Anfang

Erstellen einer IPSec-Richtlinie auf der Basis der Filterliste

Gehen Sie folgendermaßen vor, um eine IPSec-Richtlinie zu erstellen, die auf der Filterliste basiert:
  1. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf IP-Sicherheitsrichtlinien und dann mit der linken Maustaste auf IP-Sicherheitsrichtlinie erstellen.
  2. Klicken Sie im Assistenten für die IP-Sicherheitsrichtlinie auf der Seite Willkommen auf Weiter.
  3. Im Dialogfeld IP-Sicherheitsrichtlinienname geben Sie Eingehenden Verkehr für TCP-Ports 80 und 25 zulassen in das Feld Name ein. Klicken Sie anschließend auf Weiter.
  4. Deaktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren, und klicken Sie anschließend auf Weiter.
  5. Aktivieren Sie im Dialogfeld Fertigstellen des Assistenten das Kontrollkästchen Eigenschaften bearbeiten (falls es nicht bereits aktiviert ist), und klicken Sie anschließend auf Fertig stellen.
  6. Klicken Sie auf die Registerkarte Regeln.
  7. Deaktivieren Sie das Kontrollkästchen Assistent verwenden. Klicken Sie dann auf Hinzufügen.
  8. Klicken Sie auf die Registerkarte IP-Filterliste.
  9. Klicken Sie links neben der Filterliste Eingehender Verkehr für TCP-Ports 80 und 25 auf Option.
  10. Klicken Sie auf die Registerkarte Filteraktion.
  11. Klicken Sie links neben Zulassen auf Option.
  12. Klicken Sie auf Übernehmen und anschließend auf OK.
  13. Das Kontrollkästchen für die Filterliste Eingehender Verkehr für TCP-Ports 80 und 25 ist aktiviert. Klicken Sie auf Schließen.
Die IPSec-Richtlinie sucht nach Paketen, die für die TCP-Ports 80 und 25 auf der lokalen Schnittstelle bestimmt sind, und ordnet diese Pakete dann der Filteraktion "Zulassen" zu, was bedeutet, dass die Pakete die Schnittstelle passieren dürfen.

Hinweis: Wenn Sie diese Richtlinie anwenden, ist jeglicher Netzwerkverkehr zulässig, weil es keine "Verweigerungsregel" gibt, die sonstigen Verkehr unterbindet. Wenn Sie nur den Netzwerkverkehr zulassen möchten, den Sie in der vorstehenden Richtlinie definiert haben, müssen Sie eine "Verweigerungsregel" erstellen, die sonstigen Netzwerkverkehr unterbindet.

Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Zum Anfang
Keywords: 
kbhowto kbhowtomaster KB313190
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN

 

Related Support Centers