În panoul din stânga al consolei, accesați Configurația computerului # 92; Politici # 92; Setări Windows # 92; Setări de securitate # 92; Paravan de protecție Windows cu securitate avansată (Paravan de protecție Windows cu securitate avansată) # 92; Windows Firewall cu securitate avansată (LDAP) # 92; Reguli de securitate a conexiunii. Acest lucru este prezentat în figura 2.
Acum, faceți clic dreapta pe Regulile de securitate a conexiunii și selectați Creare regulă nouă. Aceasta deschide pagina Tip de regulă din Expertul pentru reguli de securitate pentru conexiuni noi. După cum puteți vedea, există foarte multe opțiuni aici. În acest exemplu, vom crea o regulă de securitate a conexiunii de tip Server-to-Server. Această regulă va permite securitatea IPsec între cele două mașini din rețeaua mea de testare. Selectați opțiunea Server-to-server și faceți clic pe Următorul.
Pe pagina Endpoints. Figura 4, indicăm punctele finale la care se va aplica această regulă. În acest exemplu, avem un server numit APP1. și vrem să protejăm toate conexiunile la APP1 prin IPsec. Pentru computerul Endpoint 1, faceți clic pe butonul Adăugați.
Acum știm ce se află pe pagina Endpoints. Figura 7, puteți specifica puncte finale pentru conexiunile IPsec. Această regulă se va aplica tuturor punctelor finale care se conectează la APP1. Faceți clic pe Următorul.
Înainte de a accesa pagina Endpoints. notați butonul Personalizare. Dacă faceți clic pe acest buton, veți vedea dialogul Personalizați tipurile de interfață. prezentat în Figura 8. În mod implicit, această regulă va fi aplicată tuturor interfețelor, dar dacă doriți să restricționați tipurile de interfețe la care se va aplica această regulă, puteți modifica opțiunea Toate tipurile de interfețe la aceste interfețe tipuri). Utilizăm valoarea implicită, deci nu schimbăm nimic aici.
Pe pagina Cerințe. Figura 9, puteți specifica ce tip de autentificare ar trebui să fie utilizat. În acest exemplu, vom selecta opțiunea Cerință de autentificare pentru conexiunile de intrare și vom solicita autentificarea pentru conexiunile de intrare și vom solicita autentificarea pentru conexiunile de ieșire. Când facem acest lucru, fiecare interacțiune dintre nodurile punctelor finale 1 și 2 va avea o cerere de autentificare atunci când calculatorul trimite o cerere de ieșire și va fi necesară autentificarea la cererea de intrare. Aceasta înseamnă că ori de câte ori computerul încearcă să se conecteze la APP1, autentificarea va fi necesară pentru conexiunile primite la APP1. Poate fi un pic cam complicat, dar dacă vă gândiți la asta, totul devine clar. Acest lucru înseamnă, de asemenea, că toate celelalte computere, atunci când încearcă să se conecteze la APP1, vor solicita autentificarea de la APP1, dar în aceste cazuri va fi opțională. Suntem interesați de conexiunile primite la APP1 și această regulă poate necesita APP1 să solicite autentificarea pentru conexiunile primite.
Pe pagina Metoda de autentificare. Figura 10, trebuie să selectați metoda de autentificare. Implicit (pe care îl folosim) va fi setat la Computer Certificate. Algoritmul standard de semnare este RSA (implicit), iar opțiunea standard de tip Store Store este CA Root (implicit). Faceți clic pe butonul Răsfoiți. Pentru a găsi certificatul CA rădăcină utilizat în organizația dvs.
În caseta de dialog Securitate Windows. Figura 11, veți vedea o listă de certificate. CA rădăcină în mediul meu de testare este corp-DC1-CA. așa că am selectat-o și faceți clic pe OK.
Acum, pe pagina Metoda de autentificare. Figura 12 arată că folosim un certificat de computer pentru autentificare și că avem încredere în certificatele emise de CA care este specificată în câmpul de text nume CA. Faceți clic pe Următorul.
În pagina Nume. Figura 14, introduceți numele regulii și faceți clic pe Finalizare.
Este posibil să fi observat că nu există opțiuni pentru configurarea parametrilor IPsec în această regulă. Motivul este că setările IPsec sunt configurate la nivel global, ceea ce nu este foarte convenabil, dar Microsoft a decis să facă acest lucru. Dacă doriți să vă uitați la parametrii IPsec, trebuie să faceți clic dreapta pe secțiunea de securitate Windows Firewall with Advanced Security. după cum se arată în figura 16 de mai jos, și selectați Proprietăți.
Tabelul de mai jos prezintă setările implicite pentru IPsec:
Schimbul cheie
Metoda de autentificare
Autentificarea de pe computerul Kerberos versiunea 5 este metoda implicită de autentificare.
Când mergem la computerul de domeniu care se conectează la APP1 și deschide consola WFAS, vom vedea o nouă regulă de securitate a conexiunii în secțiunea Reguli de securitate a conexiunii. așa cum se arată în figura 18. Rețineți că aceasta este doar o listă de reguli; el nu spune că regula este activă. Pur și simplu indică faptul că regula este disponibilă pentru computer.
Dacă mergeți la secțiunea Monitorizare Regulile de securitate ale conexiunii. veți vedea toate regulile active de securitate a conexiunilor. În acest caz, vedem că există o regulă de securitate a conexiunii active indicând faptul că conexiunea noastră IPsec funcționează! Dacă faceți dublu clic pe regula activă, vom vedea detaliile conexiunii, după cum se arată în figura 19 de mai jos.
Acum accesați Monitorizarea # 92; Asociații de securitate # 92; Modul principal în panoul din stânga al consolei WFAS. Aici vedem informațiile despre conexiunea Modului principal. inclusiv informații despre metoda de autentificare, precum și algoritmi de criptare și integritate, după cum se arată în Figura 20. Dacă comparați aceste informații cu tabelul de mai sus, veți vedea că acestea se potrivesc cu valorile implicite specificate în tabelul respectiv.
De asemenea, puteți vedea informații detaliate despre conectarea modulului rapid dacă faceți clic pe secțiunea Mod rapid în panoul din stânga al consolei, după cum se arată în Figura 21.
concluzie
Articole similare
-
Adăugarea unei reguli la serverul de ferestre de firewall 2018 r2
-
Reguli de siguranță pentru conducerea pe gheață - centru educațional și de agrement - creativ
-
Normele privind siguranța în caz de incendiu și electricitate în laborator
Trimiteți-le prietenilor: