假设您在 Alice 的计算机上创建策略:
单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。
单击添加添加新筛选器。将启动一个向导。
单击我的 IP 地址作为源地址。
单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。
Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。
对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单击完成完成该向导。
重复上述步骤,但这次键入:6668作为端口号,然后单击关闭。
您的筛选器列表中包含两个筛选器:一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯,另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口:一个端口用于传出的通讯,另一个用于传入的通讯。)这些筛选器是镜像的,每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器,该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器,IPSec 通讯通常不成功。
创建筛选器操作
您已经定义了必须受到保护的通信的种类。现在,您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作,您必须创建一个更严格的新操作。
若要创建新操作,请:
单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。
对于常规选项,单击协商安全,然后单击不和不支持 IPsec 的计算机通讯。
单击 IP 通信安全性为高选项,然后单击完成以关闭该向导。
双击新的筛选器操作(前面命名的"Encrypt Abczz")。
单击清除接受不安全的通讯,但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。
单击会话密钥完全向前保密以确保不重新使用密钥资料,单击确定,然后单击关闭。
创建 IPSec 策略
您已经获得了策略元素。现在,您可以创建策略本身了。右键单击 MMC 的右窗格,然后单击创建 IP 安全策略。当向导启动时:
将该策略命名为"Alice's IPSec"。
单击清除激活默认响应规则复选框。
单击编辑属性(如果未选中的话),然后完成该向导。该策略的属性对话框将打开。
为使 IPSec 策略有效,它必须至少包含一个将筛选器列表链接到筛选器操作的规则。
若要在属性对话框中指定规则,请:
单击添加以创建新规则。启动向导后,单击此规则不指定隧道。
单击局域网 (LAN) 作为网络类型。
