跳过标题
 

指定计算机的IPsec设置

配置计算机的IPsec SA设置,以便它们与机器的安全等级完全匹配。设置方法因计算机操作系统而异。此处所示的示例步骤是在选择验证和低等级的加密时使用Windows 7。

1在[开始]菜单中,单击[控制面板],再单击[系统和安全],然后单击[管理工具]。

在Windows 8下,将鼠标指针悬停在屏幕的顶部或右下角,然后依次单击[设置]、[控制面板]、[系统和安全],最后单击[管理工具]。

在Windows10下,右击[开始]按钮,单击[控制面板],[系统和安全],然后单击[管理工具]。

2双击[本地安全策略]。

如果出现“用户帐户控制”对话框,请单击[是]。

3双击[IP安全策略,在本地计算机]。

4在“操作”菜单中,单击[创建IP安全策略]。

出现IP安全策略向导。

5单击[下一步]。

6在“名称”中输入安全策略名称,然后单击[下一步]。

7清除“激活默认响应规则”复选框,然后单击[下一步]。

8选中“编辑属性”,然后单击[完成]。

9在“常规”选项卡中,单击[设置]。

10在“身份验证和生成新密钥间隔”中,输入在“加密密钥自动交换设置阶段1”中指定的机器上的相同有效期(分钟),然后单击[方法]。

11检查“安全方法优先顺序”中的散列算法(“完整性”)、加密算法(“加密”)和“Diffie-Hellman组”设置是否全部与机器上的“加密密钥自动交换设置阶段1”中指定的设置一致。

如果没有显示设置,单击[添加]。

12单击[确定]两次。

13在“规则”选项卡中单击[添加]。

出现安全规则向导。

14单击[下一步]。

15选择“此规则不指定通道”,然后单击[下一步]。

16选择IPsec的网络类型,然后单击[下一步]。

17在IP筛选器列表中单击[添加]。

18在[名称]中,输入IP筛选器名称,然后单击[添加]。

出现IP筛选器向导。

19单击[下一步]。

20如果需要,请输入IP筛选器说明,然后单击[下一步]。

21在“源地址”中选择“我的IP地址”,然后单击[下一步]。

22在“目标地址”中选择“一个特定的IP地址或子网”,输入机器的IP地址,然后单击[下一步]。

23选择IPsec的协议类型,然后单击[下一步]。

如果选择“TCP”或“UDP”,请同时指定源和目标端口,然后单击[下一步]。

24单击[完成]。

25单击[确定]。

26选择刚创建的IP筛选器,然后单击[下一步]。

27单击[添加]。

此时会出现筛选器操作向导。

28单击[下一步]。

29在[名称]中,输入IP筛选器操作名称,然后单击[下一步]。

30选择“协商安全”,然后单击[下一步]。

31选择“如果无法建立安全的连接,则允许无安全性的通讯。”,然后单击[下一步]。

32选择“自定义”,然后单击[设置]。

33在“完整性算法”中,选择在“加密密钥自动交换设置阶段2”中指定的机器上的验证算法。

34在“加密算法”中,选择在“加密密钥自动交换设置阶段2”中指定的机器上的加密算法。

35在会话密钥设置中,选择“生成新密钥间隔”,然后输入在机器的“加密密钥自动交换设置阶段2”中指定的有效期(秒)。

36单击[确定]。

37单击[下一步]。

38单击[完成]。

39选择刚创建的筛选器操作,然后单击[下一步]。

如果您将“加密密钥自动交换设置”设置为“验证和高等级的加密”,请选择刚创建的IP筛选器操作,单击[编辑],然后选中筛选器上“使用会话密钥完美转发密文(PFS)”的属性对话框。如果在Windows中使用PFS,则阶段2中使用的PFS组号将在阶段1从Diffie-Hellman组号自动议定(在步骤11中设置)。因此,如果您更改了本机上自动设置中指定的安全级别,并且出现了“用户设定”,必须在本机上设置相同的“阶段1 Diffie-Hellman组”和“阶段2 PFS”组号以便建立IPsec传输。

40选择验证方法,然后单击[下一步]。

如果在机器上的“加密密钥自动交换设置”中选择“证书”作为验证方法,请指定设备证书。 如果选择“PSK”,请输入在机器上指定的相同PSK文本和预共享密钥。

41单击[完成]。

如果您正使用IPv6,则必须从步骤13开始重复这一过程,并添加ICMPv6为例外。

执行到步骤23时,请选择[58]作为“其他”目标协议类型的协议编号,然后将[协商安全]设置为[允许]。

42单击[确定]。

新的IP安全策略(IPsec设置)即被指定。

43选择刚创建的安全策略,右键单击,然后单击[分配]。

将启用计算机的IPsec设置。

注

  • 要禁用计算机的IPsec设置,请选择安全策略,右键单击,然后单击[取消分配]。