JAK: Korzystanie z list filtrów IPSec w systemie Windows 2000

Streszczenie

W komputerach z systemem Windows 2000 do zabezpieczenia połączeń komunikacyjnych można użyć zabezpieczeń protokołu IP (IPSec). Zabezpieczenia IP są stosowane do komunikacji opartej o zasady zabezpieczeń IP. Na podstawie zasad zabezpieczeń IP można określić, czy konieczne jest zabezpieczenie komunikacji między komputerami za pomocą zabezpieczeń IP. Zasad zabezpieczeń IP można także użyć do kontrolowania pakietów, które mogą być odbierane i wysyłane przez interfejs sieciowy komputera.

Zasady zabezpieczeń IP tworzy się na podstawie dwóch elementów:

 • List filtrów IP

  oraz
 • Akcji filtrów IP
Lista filtrów protokołu IP (Internet protocol) to lista protokołów i folderów. Można na przykład utworzyć pozycję listy filtrów, która umożliwi komputerowi uzyskanie dostępu do portu TCP o numerze 80 w lokalnym interfejsie. Inna pozycja na tej samej liście może udostępnić port TCP o numerze 25 w tym samym interfejsie, a trzecia pozycja listy filtrów może zezwolić na dostęp do portu UDP (User Datagram Protocol) o numerze 53 w lokalnym interfejsie.

Jeśli dla pakietu przychodzącego do interfejsu komputera istnieje odpowiadająca mu pozycja na liście filtrów, agent zasad zabezpieczeń IP zastosuje do tego pakietu akcję przypisaną liście filtrów. Powyższej liście filtrów można na przykład przypisać akcję filtru Zablokuj. Wówczas każdy pakiet kierowany do portów TCP o numerach 80 i 25 oraz do portu UDP o numerze 53 zostanie zablokowany. Jeśli jednak przykładowej liście filtrów zostanie przypisana akcja filtru Zezwalaj, pakiety kierowane do portów TCP o numerach 80 i 25 oraz do portu UDP u numerze 53 będą przepuszczane.

Listy filtrów zabezpieczeń IP i akcje filtrów są skuteczną metodą kontroli dostępu do wszystkich interfejsów. Należy zwrócić uwagę, że zasady zabezpieczeń IP są stosowane do wszystkich interfejsów w komputerze z kilkoma kartami sieciowymi. Nie ma procedury, która umożliwiłaby selektywne zastosowanie zasad zabezpieczeń IP do określonego interfejsu.

W systemie Windows 2000 zdefiniowano dwie domyślne listy filtrów IP:

 • Cały ruch ICMP

  oraz
 • Cały ruch IP
Istnieją trzy domyślne akcje filtrowania:

 • Zezwalaj

  oraz
 • Żądaj użycia zabezpieczeń (opcjonalnie)

  oraz
 • Wymagaj zabezpieczeń

Jak utworzyć listę filtrów IPSec

Aby utworzyć listę filtrów IPSec dotyczącą obydwu portów przychodzących TCP o numerach 80 i 25:

 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń lokalnych.
 2. Rozwiń pozycję Narzędzia pakietu Office.
 3. Prawym przyciskiem myszy kliknij pozycję Zasady zabezpieczeń IP w lewym okienku, a następnie kliknij polecenie Zarządzanie filtrami IP.
 4. Kliknij kartę Zarządzanie listami filtrów IP w oknie dialogowym Zarządzanie listami filtrów IP i akcjami filtrów, a następnie kliknij przycisk Dodaj.
 5. Wpisz Przychodzący TCP 80 i 25 w polu Nazwa, a następnie wpisz tekst Przepuszcza ruch przychodzący do portów TCP 80 i 25 w polu Opis.
 6. Kliknięciem wyczyść pole wyboru Użyj kreatora dodawania, a następnie kliknij przycisk Dodaj, aby dodać nową pozycję do listy filtrów.
 7. Kliknij kartę Adresowanie.
 8. Kliknij pozycję Dowolny adres IP w polu Adres źródłowy.
 9. Kliknij pozycję Mój adres IP w polu Adres docelowy. Te ustawienia oznaczają, że filtr będzie stosowany do pakietów przychodzących.
 10. Wyczyść pole wyboru Lustrzane.
 11. Kliknij kartę Protokół.
 12. Kliknij pozycję TCP w polu Wybierz typ protokołu.
 13. Kliknij opcję Z dowolnego portu, a następnie kliknij opcję Do tego portu.
 14. W polu Do tego portu wpisz liczbę 80.
 15. Kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
 16. W oknie dialogowym Lista filtrów IP kliknij przycisk Dodaj.
 17. Kliknij kartę Adresowanie.
 18. Kliknij pozycję Dowolny adres IP w polu Adres źródłowy.
 19. Kliknij pozycję Mój adres IP w polu Adres docelowy. Te ustawienia oznaczają, że filtr będzie stosowany do pakietów przychodzących.
 20. Kliknij, aby zaznaczyć pole wyboru Lustrzane. Spowoduje to utworzenie filtru, w którym adresy IP docelowy i źródłowy zostaną zamienione miejscami.
 21. Kliknij kartę Protokół.
 22. Kliknij pozycję TCP w polu Wybierz typ protokołu.
 23. Kliknij opcję Z dowolnego portu, a następnie kliknij opcję Do tego portu.
 24. Wpisz liczbę 25 w polu Do tego portu.
 25. Kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
 26. W oknie dialogowym Lista filtrów IP kliknij przycisk Zamknij.

Jak utworzyć zasady IPSec na podstawie listy filtrów

Aby utworzyć zasady IPSec na podstawie listy filtrów:

 1. Prawym przyciskiem myszy kliknij pozycję Zasady zabezpieczeń IP w lewym okienku, a następnie kliknij polecenie Utwórz zasadę zabezpieczeń IP.
 2. Na stronie Kreator zasad zabezpieczeń IP - Zapraszamy! kliknij przycisk Dalej.
 3. W oknie dialogowym Nazwa zasady zabezpieczeń IP wpisz tekst Zezwalaj na ruch przychodzący TCP 80 i 25 w polu Nazwa, a następnie kliknij przycisk Dalej.
 4. Kliknięciem wyczyść pole wyboru Włącz regułę odpowiedzi domyślnej, a następnie kliknij przycisk Dalej.
 5. W oknie dialogowym Trwa kończenie pracy Kreatora zasad zabezpieczeń IP zaznacz pole wyboru Edytuj właściwości, o ile nie jest ono zaznaczone, a następnie kliknij przycisk Zakończ.
 6. Kliknij kartę Reguły.
 7. Kliknięciem wyczyść pole wyboru Użyj kreatora dodawania, a następnie kliknij przycisk Dodaj.
 8. Kliknij kartę Lista filtrów IP.
 9. Kliknij przycisk opcji, który znajduje się z lewej strony pozycji Przychodzące TCP 80 i 25.
 10. Kliknij kartę Akcja filtru.
 11. Kliknij przycisk opcji, który znajduje się z lewej strony akcji Zezwalaj.
 12. Kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
 13. Pole wyboru Lista filtrów Przychodzące TCP 80 i 25 jest zaznaczone. Kliknij przycisk Zamknij.
Zasada zabezpieczeń IPSec będzie sprawdzać pakiety przychodzące kierowane do portów TCP 80 i TCP 25 w lokalnym interfejsie i będzie do nich stosować akcję filtru Zezwalaj, która umożliwi przejście tych pakietów przez interfejs.

UWAGA: Po przypisaniu tej zasady cały ruch będzie przepuszczany, ponieważ nie ma reguły Odmów, która blokowałaby pozostały ruch. Aby przepuszczać tylko ruch określony powyższą zasadą, należy utworzyć regułę Odmów, która będzie blokowała cały ruch.Właściwości

Identyfikator artykułu: 313190 — ostatni przegląd: 05.03.2004 — zmiana: 1

Opinia