指定计算机的IPsec设置

在[开始]菜单中，单击[控制面板]，再单击[系统和安全]，然后单击[管理工具]。

在Windows 8下，将鼠标指针悬停在屏幕的顶部或右下角，然后依次单击[设置]、[控制面板]、[系统和安全]，最后单击[管理工具]。

在Windows10下，右击[开始]按钮，单击[控制面板]，[系统和安全]，然后单击[管理工具]。

双击[本地安全策略]。

如果出现“用户帐户控制”对话框，请单击[是]。

双击[IP安全策略，在本地计算机]。

在“操作”菜单中，单击[创建IP安全策略]。

出现IP安全策略向导。

单击[下一步]。

在“名称”中输入安全策略名称，然后单击[下一步]。

清除“激活默认响应规则”复选框，然后单击[下一步]。

选中“编辑属性”，然后单击[完成]。

在“常规”选项卡中，单击[设置]。

在“身份验证和生成新密钥间隔”中，输入在“加密密钥自动交换设置阶段1”中指定的机器上的相同有效期（分钟），然后单击[方法]。

检查“安全方法优先顺序”中的散列算法（“完整性”）、加密算法（“加密”）和“Diffie-Hellman组”设置是否全部与机器上的“加密密钥自动交换设置阶段1”中指定的设置一致。

如果没有显示设置，单击[添加]。

单击[确定]两次。

在“规则”选项卡中单击[添加]。

出现安全规则向导。

单击[下一步]。

选择“此规则不指定通道”，然后单击[下一步]。

选择IPsec的网络类型，然后单击[下一步]。

在IP筛选器列表中单击[添加]。

在[名称]中，输入IP筛选器名称，然后单击[添加]。

出现IP筛选器向导。

单击[下一步]。

如果需要，请输入IP筛选器说明，然后单击[下一步]。

在“源地址”中选择“我的IP地址”，然后单击[下一步]。

在“目标地址”中选择“一个特定的IP地址或子网”，输入机器的IP地址，然后单击[下一步]。

选择IPsec的协议类型，然后单击[下一步]。

如果选择“TCP”或“UDP”，请同时指定源和目标端口，然后单击[下一步]。

单击[完成]。

单击[确定]。

选择刚创建的IP筛选器，然后单击[下一步]。

单击[添加]。

此时会出现筛选器操作向导。

单击[下一步]。

在[名称]中，输入IP筛选器操作名称，然后单击[下一步]。

选择“协商安全”，然后单击[下一步]。

选择“如果无法建立安全的连接，则允许无安全性的通讯。”，然后单击[下一步]。

选择“自定义”，然后单击[设置]。

在“完整性算法”中，选择在“加密密钥自动交换设置阶段2”中指定的机器上的验证算法。

在“加密算法”中，选择在“加密密钥自动交换设置阶段2”中指定的机器上的加密算法。

在会话密钥设置中，选择“生成新密钥间隔”，然后输入在机器的“加密密钥自动交换设置阶段2”中指定的有效期（秒）。

单击[确定]。

单击[下一步]。

单击[完成]。

选择刚创建的筛选器操作，然后单击[下一步]。

如果您将“加密密钥自动交换设置”设置为“验证和高等级的加密”，请选择刚创建的IP筛选器操作，单击[编辑]，然后选中筛选器上“使用会话密钥完美转发密文(PFS)”的属性对话框。如果在Windows中使用PFS，则阶段2中使用的PFS组号将在阶段1从Diffie-Hellman组号自动议定（在步骤11中设置）。因此，如果您更改了本机上自动设置中指定的安全级别，并且出现了“用户设定”，必须在本机上设置相同的“阶段1 Diffie-Hellman组”和“阶段2 PFS”组号以便建立IPsec传输。

选择验证方法，然后单击[下一步]。

如果在机器上的“加密密钥自动交换设置”中选择“证书”作为验证方法，请指定设备证书。 如果选择“PSK”，请输入在机器上指定的相同PSK文本和预共享密钥。

单击[完成]。

如果您正使用IPv6，则必须从步骤13开始重复这一过程，并添加ICMPv6为例外。

执行到步骤23时，请选择[58]作为“其他”目标协议类型的协议编号，然后将[协商安全]设置为[允许]。

单击[确定]。

新的IP安全策略（IPsec设置）即被指定。

选择刚创建的安全策略，右键单击，然后单击[分配]。

将启用计算机的IPsec设置。