你目前正处于脱机状态,正在等待 Internet 重新连接

如何使 IPSec 通讯能够通过防火墙

本文的发布号曾为 CHS233256
概要
IP Security (IPSec) 被用来实现在计算机之间安全地传输数据。 它被实施于开放式系统互联 (OSI) 模型的网络层(第 3 层)。 它为 TCP/IP 协议组中的所有 IP 及上层协议提供保护。 在第 3 层进行信息安全保护的主要好处是:使通过 IP 进行数据传输的所有程序和服务都能得到保护。
更多信息
IPSec 不会打乱原始的 IP 头信息,并且可以作为常规 IP 通讯来路由。 在通讯主机之间的数据路径中的路由器和交换器只需要简单地将数据包转发给它们的下一个目标。 但是,如果数据路径中有防火墙或网关,那么,必须在防火墙上为如下 IP 协议和 UDP 端口启用 IP 转发:
  • IP 协议 ID 50:
    同时用于传入和传出筛选器。 应当设置为允许封装安全协议 (ESP) 通讯被转发。
  • IP 协议 ID 51:
    同时用于传入和传出筛选器。 应当设置为允许身份验证标头 (AH) 通讯被转发。
  • UDP 端口 500:
    同时用于传入和传出筛选器。 应当设置为允许 ISAKMP 通讯被转发。
L2TP/IPSec 通讯在线路上类似于 IPSec 通讯。 防火墙必须允许 IKE (UDP 500) 和 IPSec ESP 格式的数据包(IP 协议 = 50)。

可能需要允许 Kerberos 通信通过防火墙,这样的话 UDP 端口 88 和 TCP 端口 88 还需要进行转发。有关其它信息,请单击下列文章编号查看相应的 Microsoft Knowledge Base 文章:
253169 Traffic That Can--and Cannot--Be Secured by IPSec
254949 Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support
254728 IPSec Does Not Secure Kerberos Traffic Between Domain Controllers
属性

文章 ID:233256 - 上次审阅时间:10/07/2003 00:03:00 - 修订版本: 1.1

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • kbinfo kbenv kbnetwork KB233256
反馈