HOW TO:使用 Windows 2000 中的 IPSec IP 篩選器清單

文章翻譯 文章翻譯
文章編號: 313190 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

如果使用網際網路通訊協定安全性 (IPSec),就可以在 Windows 2000 的電腦上保護網路通訊安全性。IPSec 根據 IPSec 原則套用到通訊上。您可以使用 IPSec 原則,以決定您何時應使用 IPSec 確保電腦間的通訊安全。您也可以使用 IPSec 原則來控制進出電腦網路介面的封包。

IPSec 原則是根據兩個元素:
  • IP 篩選器清單

    -及-
  • IP 篩選器動作
網際網路通訊協定 (IP) 篩選器清單是通訊協定與資料夾的清單。例如,您可以建立一個篩選器清單項目,此項目可供所有電腦存取本機介面上的 TCP 連接埠 80。在同一個篩選器清單中的另一個項目可能只允許存取本機介面上的 TCP 連接埠 25,第三個篩選器清單項目可能允許存取於本機介面上的使用者資料包通訊協定 (UDP) 連接埠 53。

如果抵達電腦介面上的封包包含與篩選器清單相符的項目,IPSec 原則代理程式將套用您指派到篩選器清單上的篩選器動作。例如,如果您指派一個「封鎖」篩選器動作到上述篩選器清單上。當您這麼做時,將封鎖任何目的地為 TCP 連接埠 80、TCP 連接埠 25,或 UDP 連接埠 53 的封包。不過,如果您指派一個「允許」篩選器動作到上述篩選器清單上,則允許目的地為 TCP 連接埠 80、TCP 連接埠 25,或 UDP 連接埠 53 的封包。

您可以使用 IPSec 篩選器清單以及刪選器動作以有效地控制存取所有介面。請注意 IPSec 原則可套用到多重主機電腦上的所有介面。無論如何您都不能在特殊介面上使用 IPSec 原則的選擇性應用程式。

Windows 2000 包含下列兩個預設的 IP 篩選器清單:
  • 所有 ICMP 流量

    -及-
  • 所有 IP 傳輸
共有三個預設的篩選器動作:
  • 允許

    -及-
  • 要求安全性 (選擇性)

    -及-
  • 需要安全性

如何建立一個 IPSec 篩選器清單

要建立一個同時套用到輸入 TCP 連接埠 80 與 TCP 連接埠 25 的 IPSec 篩選器清單:
  1. 按一下 [開始],依序指向 [程式集][系統管理工具],再按一下 [本機安全性原則]
  2. 按一下以展開 [安全性設定]
  3. 在左方窗格的 [IP 安全性原則] 上按一下滑鼠右鍵,然後按一下 [管理 IP 篩選器]
  4. 按一下 [管理 IP 篩選器清單和篩選器動作] 對話方塊的 [管理 IP 篩選器清單] 索引標籤,然後按一下 [新增]
  5. [名稱] 方塊中鍵入 「輸入 TCP 80 與 25」,然後在 [描述] 方塊中鍵入 「允許所有到 TCP 連接埠 80 與 25 的輸入流量」
  6. 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增] 以新增一個新的篩選器清單項目。
  7. 按一下 [位址設定] 索引標籤。
  8. 按一下 [來源位址] 方塊中的 [任何 IP 位址]
  9. 按一下 [目的地位址] 方塊中的 [我的 IP 位址]。這個設定表示將套用篩選器到輸入封包中。
  10. 按一下以清除 [鏡像] 核取方塊。
  11. 按一下 [通訊協定] 索引標籤。
  12. 按一下 [請選取通訊協定的類型] 方塊中的 TCP
  13. 按一下 [從任意連接埠],然後按一下 [到這個連接埠]
  14. [到這個連接埠] 方塊中,鍵入 80
  15. 按一下 [套用],然後按一下 [確定]
  16. 按一下 [IP 篩選器清單] 對話方塊中的 [新增]
  17. 按一下 [位址設定] 索引標籤。
  18. 按一下 [來源位址] 方塊中的 [任何 IP 位址]
  19. 按一下 [目的地位址] 方塊中的 [我的 IP 位址]。這個設定表示將套用篩選器到輸入封包中。
  20. 按一下以選取 [鏡像] 核取方塊。這樣做可以建立一個包含相反來源與目的地 IP 位址的篩選器。
  21. 按一下 [通訊協定] 索引標籤。
  22. 按一下 [請選取通訊協定的類型] 方塊中的 TCP
  23. 按一下 [從任意連接埠],然後按一下 [到這個連接埠]
  24. [到這個連接埠] 方塊中鍵入 25
  25. 按一下 [套用],然後按一下 [確定]
  26. 按一下 [IP 篩選器清單] 對話方塊中的 [關閉]

如何建立以 IPSec 篩選器清單為基礎的 IPSec 原則

要建立以 IPSec 篩選器清單為基礎的 IPSec 原則:
  1. 在左方窗格的 [IP 安全性原則] 上按一下滑鼠右鍵,然後按一下 [建立 IP 安全性原則]
  2. 在「歡迎使用 IP 安全性原則精靈」中,按一下 [下一步]
  3. [IP 安全性原則名稱] 對話方塊中,在 [名稱] 方塊裡鍵入 「允許輸入 TCP 80 與 25」,然後按一下 [下一步]
  4. 按一下以清除 [啟動預設的回應規則] 核取方塊,然後按一下 [下一步]
  5. [正完成 IP 安全性原則精靈] 對話方塊中,按一下以選取 [編輯內容] 核取方塊 (若尚未選取),然後按一下 [完成]
  6. 按一下 [規則] 索引標籤。
  7. 按一下以清除 [使用新增精靈] 核取方塊,然後按一下 [新增]
  8. 按一下 [IP 篩選器清單] 索引標籤。
  9. 按一下 [選項] (位於 [輸入 TCP 80 與 25 IP 篩選器清單] 的左方)。
  10. 按一下 [篩選器動作] 索引標籤。
  11. 按一下 [選項] (位於 [允許] 左方)。
  12. 按一下 [套用],然後按一下 [確定]
  13. 已選取 [輸入 TCP 80 與 25 篩選器清單] 核取方塊。按一下 [關閉]
IPSec 原則檢查目的地為本機介面上 TCP 連接埠 80 與 TCP 連接埠 25 的封包,然後比對封包和 [允許] 篩選器動作 (可允許封包通過介面)。

注意:如果您指派此原則,則允許所有流量,因為沒有「拒絕」規則可以防止其他流量。如果只要允許在上述原則中指定的流量,您必須建立一個拒絕所有流量的「拒絕」規則。

屬性

文章編號: 313190 - 上次校閱: 2004年4月27日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbhowto kbhowtomaster KB313190
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com