Стандартные исключения IPsec позволяют обойти защиту IPsec, в некоторых сценариях

Переводы статьи Переводы статьи
Код статьи: 811832 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Безопасность протокола IP (IPsec) функция в Windows 2000, Windows XP и Windows Server 2003 не был разработан как полнофункциональный индивидуальный брандмауэр. Она была разработана для предоставления основных разрешения и блок Фильтрация с помощью IP-адрес, протокол и порт в сетевых пакетов. IPsec также была разработана в качестве административного средства повышения безопасности связи, таким образом, что является прозрачной для программ. По этой причине он предоставляет фильтрации, необходимые для согласования безопасности IPsec транспортный режим или режим туннелирования IPsec, в первую очередь для сред интрасети где машины доверия был доступен из службы Kerberos или по указанному пути в Интернете где открытого ключа цифровых сертификатов инфраструктуры Открытого ключа может быть использован.

Исключения по умолчанию для фильтров политики IPsec описано в справке Microsoft Windows 2000 и Microsoft Windows XP. Эти фильтры позволяют Internet Key Exchange (IKE) и для проверки подлинности Kerberos функция. Фильтры позволяют им также для обслуживания сети (QoS), чтобы быть сигнал (RSVP), когда трафик данных обеспечивается протоколом IPsec, а также трафик IPsec не может защитить такие как многоадресный и широковещательный трафик. Для получения дополнительных сведений Эти фильтры щелкните следующий номер статьи базы знаний Майкрософт:
253169 Трафик, который можно и нельзя защищены протоколом IPsec

Дополнительная информация

Как все больше использовать IPsec для основной брандмауэр фильтрацию пакетов, особенно в сценариях, доступ в Интернет, влияние Эти стандартные исключения не был понят полностью. По этой причине некоторые IPsec администраторы могут создать политики IPsec, они думают, безопасны, но Фактически небезопасные входящие атак, которые используют по умолчанию исключения.

Корпорация Майкрософт настоятельно рекомендует сети администраторы выполните действия в этой статье, необходимо отменить исключения по умолчанию для IPSec. Это особенно рекомендуется Если IPsec используется в сценариях, где подобный брандмауэра функциональные возможности необходимо предотвратить злоумышленники сетевой доступ к компьютер. Удаление стандартных исключений проверки подлинности Kerberos, чтобы защититься от игнорируя все защиты, который предназначен для обеспечиваемую протоколом IPsec для определенных Конфигурации IPsec. После удаления исключения существующих политики безопасности может потребоваться изменить работу правильно.

Администраторы могут начать планирование с учетом этих изменений для всех с помощью существующих и новых реализаций IPsec
NoDefaultExempt = 1
раздел реестра на всех Windows 2000 и под управлением Windows XP компьютеры. Цель этого раздела реестра описан далее в этом в статье.

Определение исключений IPsec по умолчанию

В следующей таблице приведены эквивалентные фильтров, которые являются реализован, если включены все стандартные исключения для фильтрации IPSec, как они по умолчанию, или, если
NoDefaultExempt
имеет значение0.Эти определения фильтра описаны стандартные исключения, которые являются применяется в драйвер IPsec для разрешения трафика, независимо от того, другие политики IPsec фильтры. Нет средств, предназначенных для отображения сведений о фильтре политики IPSec Показать эти исключения в их результаты.

Эквивалентные фильтров для
NoDefaultExempt = 0
:
Свернуть эту таблицуРазвернуть эту таблицу
Исходный адресМесто назначения АдресПротоколПорт источникаМесто назначения ПортДействие фильтра
Мой IP-адресЛюбой IP АдресUDPЛюбой88Разрешить
Любой IP-адресМой IP АдресUDP88Любой Разрешить
Любой IP-адресМой IP-адресUDPЛюбой 88Разрешить
Мой IP-адресЛюбой IP АдресUDP88Любой Разрешить
Мой IP-адресЛюбой IP-адресTCPЛюбой 88Разрешить
Любой IP-адресМой IP АдресTCP88Любой Разрешить
Любой IP-адресМой IP-адресTCPЛюбой 88Разрешить
Мой IP-адресЛюбой IP АдресTCP88Любой Разрешить
Мой IP-адресЛюбой IP АдресUDP500500 (1)Разрешить
Любой IP-адресМой IP АдресUDP500500Разрешить
Мой IP-адресЛюбой46 (RSVP)Разрешить
Любой IP-адресМой IP-адрес46 (RSVP)Разрешить
Любой IP-адрес<multicast>(2)</multicast>Разрешить
Мой IP Адрес<multicast></multicast>Разрешить
Любой IP-адрес<broadcast>(3)<b00></b00></broadcast>Разрешить
Мой IP Адрес<broadcast></broadcast>Разрешить
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Разрешить
При указании IP-адрес, маска подсети 255.255.255.255. Когда IP-адрес может быть любым, маска подсети — 0.0.0.0.
  1. Чтобы режим транспорта IPSec для согласования через Туннельный режим IPSec SA, ISAKMP трафики не нуждается ли оно для передачи через IPSec туннеля сначала.
  2. Многоадресный трафик определяется как класс d диапазона с диапазон адресов назначения 224.0.0.0 240.0.0.0 с маской подсети. Это диапазон IP-адресов от 224.0.0.0 до 239.255.255.255.
  3. Широковещательный трафик определяется как адрес назначения 255.255.255.255, ограниченный широковещательный адрес, или как имеющий идентификатор узла задать IP-адресе для всех 1 рассылки подсети адрес.
  4. IPSec не поддерживает фильтрацию для протокола IP версии 6 (IPv6) пакеты, за исключением когда инкапсулированные пакеты IPv6 в заголовки IPv4 как IP протокол 41. Для получения дополнительных сведений о поддержке IPv6 в Windows, посетите следующий веб-узел корпорации Майкрософт:
    http://TechNet.Microsoft.com/en-US/Network/bb530961.aspx

Поддержка операционных систем для NoDefaultExempt

В следующей таблице описаны виды поведения по умолчанию исключения в различные выпуски Windows 2000 и Windows XP:
Свернуть эту таблицуРазвернуть эту таблицу
Розничная торговля, выпущенные Версия1 (SP1)2 (SP2)3 (SP3)SP4
Windows 2000Содержит стандартные исключения.
NoDefaultExempt
ключ не поддерживается.
Содержит стандартные исключения
NoDefaultExempt
ключ поддерживается, значения 0 -или- 1.
Содержит стандартные исключения.
NoDefaultExempt
ключ поддерживается, значения 0 -или- 1.
Содержит стандартные исключения.
NoDefaultExempt
ключ поддерживается, значения 0 -или- 1.
По умолчанию изменения
NoDefaultExempt = 1
Это приведет к удалению Kerb и RSVP исключения.
Windows XPСодержит стандартные исключения
NoDefaultExempt
поддерживается, значения 0 -или- 1.
Содержит стандартные исключения
NoDefaultExempt
поддерживается, значения 0 -или- 1.
По умолчанию изменения
NoDefaultExempt = 1
, который удаляет Kerb и RSVP исключения.


Примечание IPSec в Windows 2000 и Windows XP не поддерживает фильтрацию широковещательный и многоадресный трафик.

Удаление исключений по умолчанию

Следующий параметр реестра определяет, какой тип исключений по умолчанию для IPsec.
NoDefaultExempt

Тип данных: REG_DWORD
Диапазон: зависит от:
Windows 2000: поддерживается только 0-1
Windows XP: 0-1 поддерживается только
Windows Server 2003: 0-3, поддерживается только
По умолчанию (Windows 2000 и Windows XP). 0
Поведение по умолчанию (Windows Server 2003): 3
Присутствует по умолчанию: нет
Описание возможности значения:
  • Значение 0 Указывает, многоадресного вещания, RSVP, Kerberos и IKE Трафик (ISAKMP) исключаются из фильтрации IPSec. По умолчанию фильтрация поведение для Windows 2000 и Windows XP. Используйте этот параметр только в том случае, если необходимо для обеспечения совместимости с существующими политики IPsec или Windows 2000 и Windows XP поведение.
  • Значение 1 Указывает, что трафик Kerberos и RSVP не было Фильтрации IPSec, но многоадресного вещания и трафик IKE, освобождаются. Это Рекомендуемое значение для Windows 2000 и Windows XP.
  • Значение 2 Указывает, что многоадресный и широковещательный трафик не исключаются от IPSec фильтрации, но трафик IKE, Kerberos и RSVP, освобождаются. Поддерживается только в Windows Server 2003.
  • Значение 3 Указывает, что из фильтрации IPSec исключается только трафик IKE. Поддерживается только в Windows Server 2003. Windows Server 2003 содержит это Несмотря на то, что раздел реестра не существует поведение по умолчанию по умолчанию.
Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Чтобы настроить этот раздел реестра:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE regedit, а затем нажмите кнопку ОК.
  2. Выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Примечание В Windows Server 2008 и Windows Vista является раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Щелкните правой кнопкой мыши IPSEC, выберите пунктНовый, а затем нажмите кнопку Значение типа DWORD.
  4. Назовите эту новую записьNoDefaultExempt.
  5. Измените значение
    NoDefaultExempt
    ключ от 0 Кому 1. Если требуется, можно использовать значение отличное от 1 Если другое значение лучше подходит для вашей среды.
  6. Закройте редактор реестра.
  7. В Windows XP нажмите кнопку Начало, нажмите кнопкуПанель управления, а затем дважды щелкните значок Административные Сервис. В Windows 2000 нажмите кнопку Начало, нажмите кнопкуПараметры, нажмите кнопку Панель управления, а затем Двойной щелчок Администрирование.
  8. Дважды щелкните значок Службы.
  9. Остановите и перезапустите службы IPSec. Windows XP необходимо перезагрузить компьютер после этого.

Влияние исключений по умолчанию

В следующем примере показан Windows 2000 или Windows XP IPSec политики, настроенной как одностороннюю блок фильтра. Эффекты применения блок фильтра с этими правилами, что весь входящий трафик блокируется. Это Правило фильтра предоставляется только для демонстрации влияния исключений IPSec для этого правила:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
Цели администратора в этом примере будет блокировать все входящие одноадресный трафик, который будет 10.10.1.2 IP-адрес. Ниже разделах описывается влияние стандартные исключения при применении этого фильтр.

Влияние исключений IKE

Освобождение от IKE для исходного и конечного портов UDP 500. IKE всегда получает этот тип пакетов с любым адресом источника из-за по умолчанию исключения IKE. Возможно, злоумышленник с помощью IKE порты, чтобы атаковать IKE сам и возможно проблемы. Однако порты IKE нельзя использовать для атаки на другие открытые порты UDP или TCP. Выполняет IKE IPsec Просмотр политики, чтобы определить, если он должен ответить на входящий пакет. Так как IKE используется для согласования параметров безопасности между двумя узлами IPSec и IPsec Фильтры используются для разрешения и не удастся блока управления трафика IKE найти соответствующую политику безопасности и не будет отвечать на входящие запросы.

IKE используются различные методы отказ в обслуживании (DoS) Во избежание неопределенности. Пакет обновления 3 (Sp3) для Windows 2000 и Windows XP обеспечивает улучшенную DoS Во избежание неопределенности IKE затопления атак. IKE не могут быть отключены независимо от Драйвер IPsec и служба IPsec. IKE может быть только отключен, остановка IPsec Служба, которая также отключает фильтрации IPsec.

Если выполняется IKE атаки из Интернета и не требуется, но необходима фильтрация IPsec, доступны различные параметры.
  • Блокирующий фильтр для трафика UDP 500 могут использоваться на брандмауэр или шлюз по умолчанию.
  • Настройте дополнительные свойства TCP/IP фильтр на Интерфейс с Интернетом. Используйте только, а затем добавить порты UDP, отличные от необходимых UDP 500.Для получения дополнительных сведений об использовании этого параметра обратитесь к следующей статье базы знаний Майкрософт:
    309798Настройка протокола TCP/IP, фильтрация в Windows 2000
    Использование netstat –a команды для просмотра Откройте UDP-порты.
  • В Windows XP брандмауэр подключения К Интернету может быть включен на интерфейсе с Интернетом блокировать весь входящий трафик. Конкретные отверстия можно настроить порты UDP, отличные от UDP 500.Для получения дополнительных сведений в ICF-ФАЙЛЕ щелкните следующий номер статьи базы знаний Майкрософт:
    283673Как включить или выключить брандмауэр в Windows XP

Влияние исключение Kerberos по умолчанию

С этим примером, который блокирует все односторонние входящие пакеты все защищены ни одноадресной рассылки входящего и исходящего трафика Kerberos бы ни соответствия Этот фильтр. По этой причине злоумышленник может создавать одноадресной UDP или TCP пакет, который использует исходный порт 88 для доступа к любой открытый порт в 10.10.1.2. Это Включает сканирование портов TCP и UDP, даже при использовании фильтра block. В Администратор должен установить
NoDefaultExempt
раздел реестра для предотвращения атак. Если маршрутизатор фильтрации или Брандмауэр — используется, он может или не может разрешить такой трафик от злоумышленника, в зависимости от способа обработки трафика, использующего порты Kerberos.

Примечание Многие средства сканирования портов не обнаружить это поведение, так как они Сервис не разрешать установку исходный порт 88 при проверки для открытия портов имеет место. Также обратите внимание, что многие средства сканирования портов ожидают ICMP-сообщения в ответ Чтобы зонда отправляемой TCP или UDP-порт не открыт. Если используется IPsec Блокировка трафика ICMP, средство сканирования могут ошибочно сообщать — порт открыть. Убедитесь, что с помощью трассировки сети с помощью сетевого монитора трафик, отправляемых и получаемых по сети.

Когда Kerberos удаления исключения и если IPsec используется также для защиты трафика с помощью Проверка подлинности Kerberos в IKE, следующие разработки политики IPsec следует ставить вопросы:
  • Компьютер, с помощью проверки подлинности IKE Kerberos с
    NoDefaultExempt = 1
    не удается установить связь с компьютером однорангового узла, использующего IKE Проверка подлинности Kerberos, если он не имеет то же значение ключа реестра. Использовать проверку подлинности IKE вместо Kerberos, где это требуется.
  • Явные исключения для трафика Kerberos и UDP 389 и из всех соответствующих DC IP-адреса должен быть указан в политике IPsec. По состоянию на март 2003 г., корпорация Майкрософт поддерживает защита трафика IPsec от члена домена для контроллеров домена добавьте фильтры политики IPsec Чтобы явно разрешить весь трафик для IP-адреса контроллера домена. Это могут потребоваться многие разрешающие фильтры, если имеется много контроллеров Домена DC. IP-адреса должны быть постоянно назначенные для контроллеров доменов (статические IP-адреса). Список фильтров для всех Контроллеры домена в домене должны поддерживаться вручную администратором для текущий список IP-адресов. Это упрощает обновление по Администратор, если фильтр задает DNS-имя домена, в качестве источника или конечный адрес во время создания нового фильтра. Это позволяет устранить имя DNS от текущей IP-адресов в домене домена и создание фильтры для каждого отдельного IP. Проверьте список IP-адресов, перед использованием Список фильтров в производственной среде. Добавление нового контроллера Домена требуется добавить новый фильтр в Этот список фильтров. Корпорация Майкрософт рекомендует использовать для всех контроллеров домена в один список фильтров определенного домена, которое затем используется для правил политик IPsec. Убедитесь, что Имя списка фильтров указывает время последнего обновления список IP-адресов для удобный справочник.
Для получения дополнительных сведений о связи между доменами контроллеры, щелкните следующий номер статьи базы знаний Майкрософт:
254949Поддержка IPSec контроллера домен клиента и трафик контроллера в домене контроллер домена

Влияние исключений RSVP

Для компьютера, который использует RSVP, злоумышленник может быть отказ отказ в обслуживании, затопления или обманных и вредоносных пакетов RSVP для отправки 10.10.1.2. Это IP-адрес, используемый в предыдущем примере, и Эта атака бы обойти фильтр IPsec одностороннее входящее блока в пример.

Протокол RSVP является IP-протокол, 46. Он является передача сигналов протокол, используемый для резервирования пропускной способности в маршрутизаторы для трафика программ.

RSVP в Windows 2000

Windows 2000 использует протокол RSVP в списке ниже обстоятельств:
  • Устанавливается служба управления допуском QoS. Это необязательный сетевой компонент в компьютерах Windows 2000 Server. Если это установлен, он получает и отправляет трафик RSVP.
  • Служба RSVP качества обслуживания (QoS). По по умолчанию, эта служба устанавливается и настраивается как автоматический запуск службы. Когда он запускается, служба загружает Rsvp.exe программы, которая использует RSVP протокол и выгрузки его в случае не трафика, требует RSVP Передача сигналов. Она динамически загружает программу Rsvp.exe при службы QoS требуется.
  • Программа открывает сокет с помощью параметра сокета службы GQoS. В RSVP.exe программа работает непрерывно управлять сигналы разъема трафик.
  • В Pathping –r команда использует Определить, являются ли маршрутизаторы RSVP включен протокол RSVP.
Для получения дополнительных сведений о том, как отключить протокол RSVP Передача сигналов, щелкните следующий номер статьи базы знаний Майкрософт:
247103Как отключить сигнализацией RSVP
При использовании службы QoS RSVP не отправляет RSVP сигналов на указанном интерфейсе.

RSVP в Windows XP

Протокол RSVP был объявлен устаревшим в Windows XP. Несмотря на то что Качество обслуживания (QoS) RSVP службы устанавливается по умолчанию, он настраивается для запуска вручную. Служба не отправлять или обработать полученные протокол RSVP сообщения. Он по-прежнему регистрирует протокол RSVP, поэтому стека TCPIP получает IP 46 типа пакетов. Однако эти входящие пакеты удаляются. Если Не запущена служба QoS RSVP, будет помещен в стек протокола TCP/IP входящих пакетов RSVP, а затем отправлять пакеты ICMP «destination unreachable» ответ.

Windows XP используется только протокол RSVP при Pathping –r команда использует протокол RSVP для определения Если маршрутизаторы RSVP включена.

Защита от RSVP атак

Для активации протокола IPsec для защиты от возможных атак с помощью Протокол RSVP, администратор должен установить
NoDefaultExempt = 1
раздел реестра, чтобы отключить исключение RSVP в IPsec. Вместо этого вы можно отключить службу QoS RSVP или отключить RSVP как протокол.Для получения дополнительных сведений о том, как сделать Таким образом щелкните следующий номер статьи базы знаний Майкрософт:
247103Как отключить сигнализацией RSVP
Если операция протокол RSVP обязательным, явные Разрешить фильтры могут быть определены в политике IPsec для разрешения IP протокол 46 соответствующие адреса источника и назначения. Поскольку RSVP предназначено для связь с маршрутизаторами, Майкрософт не рекомендует использовать IPsec для согласования безопасность для RSVP. Обратите внимание, что RSVP могут также адреса многоадресной рассылки, не удается фильтровать по IPSec.

Влияние широковещательной и многоадресной рассылки исключений

Пакеты с адреса назначения, многоадресный и широковещательный бы не совпадают пример фильтрации входящего подключения, так как имеет фильтра входящего трафика адрес назначения определенных одноадресной IP-адрес (10.10.1.2). Windows 2000 и фильтрации IPsec в Windows XP не делают возможным фильтр многоадресной рассылки или широковещательный трафик.

Если злоумышленник создает многоадресные или широковещательные пакеты, а также если сети позволяет использовать эти пакеты должны быть получены путем компьютер, может обойти фильтр IPsec, используемый в предыдущем пример. Обычно злоумышленник должен находиться в локальной подсети для проведения атака с использованием этого трафика, так как маршрутизатор шлюза по умолчанию Конфигурация не будет пересылать незапрошенный входящий многоадресный или широковещательный трафик. В некоторых схемах политики IPsec, использующих параметр фильтра «разрешить небезопасную связь с компьютером, виду, отличных от IPsec", злоумышленник может иметь возможность для использования многоадресного или широковещательного трафика входящего трафика для конечного компьютера Чтобы отправить одноадресный ответ. Затем это вызовет исходящего трафика согласования IKE создаст пакет программное SA и открыть путь для злоумышленника подключение. Злоумышленник может создать неправильный пакет TCP с помощью многоадресной рассылки или широковещательный адрес назначения, чтобы попытаться обойти фильтры IPsec. Если программа протокол работы, или запросы, чтобы получать многоадресные или широковещательные пакеты Злоумышленник может быть взаимодействовать с этой программой, если злоумышленник и программы используют только широковещательный и многоадресный трафик.

Корпорация Майкрософт рекомендует, что администратор IPsec обсудить маршрутизатор и брандмауэр Конфигурация сетевого администратора для выявления причин возможности создания такой атаки, основанный на текущем IPsec политики.

Связь по протоколу TCP требует трехэтапное, использует одноадресной IP-трафика и поэтому нельзя использовать многоадресные или широковещательные типы трафика. В Windows 2000 и Windows XP, программ и служб, которые используют UDP и незащищенные сокеты по умолчанию получают широковещательный трафик отправляется к портам что открытия программ. По умолчанию RFC 2644 говорится, направленный широковещательный трафик не должны маршрутизироваться маршрутизаторами. Существует два других типа широковещательный трафик, который может использоваться с локальной связи:
  • Ограниченный широковещательный адрес – это Если назначения IP адрес — 255.255.255.255.
  • Вещание расширенный префикс сети - это Если Конечный IP-адрес — x.y.255.255 или x.y.z.255 с соответствующей подсети маски.
Программы обычно определяют свои собственные модели обмена данными с помощью Этот трафик. Обычно многоадресного и широковещательного трафика используется для изначально объявлений и обнаружения службы. Затем исходный и конечный компьютеры будут с помощью одноадресной IP-трафика между их IP-адреса для продолжения обмен данными.

Чтобы увидеть UDP программы, которые будут получать широковещательные пакеты по умолчанию используется Netstat команда:
  • Windows 2000: выполните команду netstat - a -p UDPНет метода для отображения программ, открывших эти порты.
  • Windows XP: Netstat –ao –p UDP В -Оборотная служит для отображения Идентификатора процесса для определения программ, При использовании открытых портов.

Какие программы могут получать многоадресные Трафик?


Программы необходимо явно зарегистрировать стека TCPIP принимать входящий трафик многоадресной рассылки. Если программа не выполнена регистрация для получения Этот тип трафика, Входящие многоадресные пакеты отбрасываются. Однако многоадресной рассылки пакеты могут быть удалены в сетевом адаптере (наиболее распространенные), в Минипорт IP-уровень и уровень UDP. Администраторы должны проверить Определите, какие типы трафика многоадресной рассылки маршрутизируемый через сеть лучше оцените Если многоадресного трафика можно использовать для атаки на компьютер. Для Определите, какие группы многоадресной рассылки подключились программой:
  • Windows 2000: метод не доступен
  • Windows XP:
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd, а затем нажмите кнопку ОК.
    2. Тип Показать ip интерфейса Netsh соединения, а затем нажмите клавишу ВВОД.

С помощью IPsec с помощью брандмауэра подключения к Интернету

Для Windows XP брандмауэр подключения К Интернету может лучше отвечать требованиям безопасности для фильтрации трафика. Брандмауэр подключения к Интернету фильтрации и могут Заблокируйте входящий многоадресный и широковещательный трафик в Windows XP с пакетом обновления 1. Тем не менее брандмауэр подключения к Интернету не знает трафика, защищенного IPsec AH или ESP в транспорт или Туннельный режим. IPsec — на уровне сети ниже брандмауэра подключения к Интернету. IKE размещается над брандмауэр подключения к Интернету. По этой причине ICF статически должна позволять IKE (UDP-порт 500) входящих, а не увидят протоколы IPsec AH или ESP, но трафик TCP или UDP после IPsec у decapsulated его в процессе обработки приема. Если IPsec блокирует трафик, брандмауэр подключения к Интернету отброшенных пакетов журнала не будет содержать пакеты, IPsec Отброшено.

Функциональные возможности IPsec могут быть объединены с помощью брандмауэра подключения к Интернету Фильтрация для дополнительных поведение фильтра. Например брандмауэр подключения к Интернету может быть только настройки для открытия TCP-порт 445 от любого IP-адреса и фильтров IPsec может используется, чтобы ограничить это только пакеты, содержащие внутренней подсети как адрес источника. Другим примером может служить, настраивается IPsec согласование безопасности для трафика, но ограничивает конфигурации брандмауэра подключения к Интернету, что входящие подключения разрешается принято, разрешая только входящих IKE (Порт UDP 500) и общий доступ к файлам SMB (порт TCP 445).

Ссылки

Дополнительные сведения о реализации TCP/IP Технический документ реализация Detailed TCP/IP Windows 2000. Чтобы сделать это, посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/bb726981.aspx
Для получения дополнительных сведений об IP-безопасности щелкните следующие номера статей базы знаний Майкрософт:
253169Трафик, который можно и нельзя защищены протоколом IPSec
254728 IPSec не защищает трафик Kerberos между контроллерами домена
308127 Как вручную открыть порты в брандмауэре подключения к Интернету в Windows XP
810207 В Windows Server 2003 удаляются исключений IPSec по умолчанию

Свойства

Код статьи: 811832 - Последний отзыв: 14 июня 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:811832

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com