指定電腦的IPsec設定

在[開始]功能表上，依序按一下[控制台]、[系統及安全性]及[系統管理工具]。

在Windows 8中，將滑鼠游標移到畫面的右上或右下角上，然後依序按一下[設定]、[控制台]、[系統及安全性]，以及[系統管理工具]。

按兩下[本機安全性原則]。

如果出現「使用者帳戶控制」對話方塊，請按一下[是]。

按一下[在本機電腦上的IP安全性原則]。

在「執行」選單上，按一下[建立IP安全性原則]。

隨即出現IP安全性原則精靈。

按一下[下一步]。

在「名稱」中輸入安全性原則的名稱，然後按一下[下一步]。

清除「啟動預設的回應規則」核取方塊，然後按一下[下一步]。

選擇「編輯內容」，然後按一下[完成]。

在「一般」索引標籤中，按一下[設定]。

在「驗證及產生新金鑰間隔」中，輸入與機器上指定的「加密金鑰自動交換設定階段1」相同的有效期間（以分鐘為單位），然後按一下[方法]。

確認「安全性方法的喜好設定順序」中的Hash演算法（「整合」）、加密演算法（「加密」）及「Diffie-Hellman群組」設定，均符合機器上「加密金鑰自動交換設定階段1」中所指定的設定。

如果未顯示設定，請按一下[新增]。

按兩下[確定]。

按一下「規則」索引標籤中的[新增]。

即會出現[安全性規則精靈]。

按一下[下一步]。

選擇[這個規則並沒有指定通道]，然後按一下[下一步]。

選擇IPsec網路的類型，然後按一下[下一步]。

按一下IP篩選器清單中的[新增]。

在[名稱]中輸入IP篩選器名稱，然後按一下[新增]。

會出現[IP篩選器精靈]。

按一下[下一步]。

必要時，請輸入IP篩選器的說明，然後按一下[下一步]。

在「來源位址」中選擇「我的IP位址」，然後按一下[下一步]。

在「目的地位址」中選擇「特定IP位址或子網路」，輸入機器的IP位址，然後按一下[下一步]。

選擇IPsec通訊協定的類型，然後按一下[下一步]。

如果將IPsec和IPv6一起使用，請選擇「58」作為「其他」目標通訊協定類型的通訊協定編號。

如果在步驟23中選擇「TCP」或「UDP」，請指定來源和目的地連接埠，然後按一下[下一步]。

按一下[完成]。

按一下[確定]。

選擇剛才建立的IP篩選器，然後按一下[下一步]。

按一下[新增]。

篩選器動作精靈隨即出現。

按一下[下一步]。

在[名稱]中，輸入IP篩選器動作名稱，然後按一下[下一步]。

選擇「交涉安全性」，然後按一下[下一步]。

選擇「如果無法建立安全的連線，則允許無安全性的通訊」，然後按一下[下一步]。

選擇「自訂」，然後按一下[設定]。

在「整合演算法」中，選擇在機器上的「加密金鑰自動交換設定階段2」中指定的驗證演算法。

在「加密演算法」中，選擇在機器上的「加密金鑰自動交換設定階段2」中指定的加密演算法。

在「工作階段金鑰設定」中，選擇「產生新金鑰間隔」，然後輸入在機器上的「加密金鑰自動交換設定階段2」中指定的有效期間（以秒為單位）。

按一下[確定]。

按一下[下一步]。

按一下[完成]。

選擇剛才建立的篩選器動作，然後按一下[下一步]。

如果將「加密金鑰自動交換設定」設定為「驗證和等級高的加密」，請選擇剛建立的IP篩選器動作、按一下[編輯]，然後勾選篩選器動作對話方塊中的「使用工作階段金鑰完全正向加密（PFS）」。如果在Windows中使用PFS，系統會自動在階段1中依據Diffie-Hellman群組號碼（在步驟11中設定）交涉用於階段2的PFS群組號碼。因此，如果您變更機器上之安全等級指定的自動設定，且出現“使用者設定”，則必須在機器上對「階段1 Diffie-Hellman群組」和「階段2 PFS」設定相同的群組編號，以建立IPsec傳送。

選擇驗證方式，然後按一下[下一步]。

如果在機器上的「加密金鑰自動交換設定」中選擇「憑證」作為驗證方法，請指定裝置憑證。如果選擇「PSK」，請輸入與機器用預先共用金鑰指定的PSK文字相同的PSK文字。

按一下[完成]。

按一下[確定]。

即會指定新的IP安全性原則（IPsec設定）。

選擇剛才建立的安全性原則，按一下滑鼠右鍵，然後按一下[指派]。

已啟用電腦的IPsec設定。