домена, на всех компьютерах, входящих в это организационное подразделение. Политика IPSEC, назначенная организационному подразделению низшего уровня, подавляет политику IPSEC, назначенную организационному подразделению высшего уровня на всех компьютерах, входящих в это подразделение.
Windows 2000 содержит набор предопределенных политик IPSEC. По умолчанию все предопределенные политики предназначены для компьютеров, являющихся членами домена Windows 2000. Их можно назначать без дополнительной настройки, изменять или использовать в качестве шаблонов при создании собственных политик.
Предопределенные политики
Клиент (Только ответ)Используется только для компьютеров, безопасная связь для которых большую часть времени не требуется. Например, клиенты интрасети могут не требовать использования IPSEC, кроме случаев, когда запрос исходит с другого компьютера. Эта политика позволяет компьютеру, на котором она активизирована, должным образом отвечать на запросы безопасной связи. Эта политика содержит стандартное правило ответа, позволяющее выполнять согласование с компьютерами, требующими использования IPSEC. Защита применяется только к трафику по запрошенному протоколу и через запрошенный порт.
Сервер (запрос безопасности) Используется для компьютеров, для которых большую часть времени требуется безопасная связь. В качестве примера можно привести сервер, через который передаются важные данные. В данной политике компьютер принимает незащищенный трафик, но всегда выполняет попытку защитить дополнительные связи, посылая отправителю запрос безопасности. Эта политика допускает полное отсутствие защиты трафика, если другой компьютер не поддерживает IPSEC.
Безопасность сервера (требовать безопасность) Эта политика используется для компьютеров, постоянно требующих безопасной связи. Примером может служить сервер, передающий весьма важные данные, или шлюз безопасности, защищающий интрасеть от посторонних. Эта политика отклоняет небезопасные входящие связи, а исходящий трафик всегда защищен. Небезопасная связь не допускается, даже если другая сторона не поддерживает IPSEC.
Заметьте, что никакая политика не применяется по умолчанию и что только одна политика может быть применена к системе в любой данный момент времени.
Как и предопределенные политики, предопределенное правило отклика может быть активизировано без дополнительной настройки или изменено в соответствии с конкретными потребностями. Оно добавляется в каждую создаваемую политику, но не активизируется автоматически. Правило предназначено для любых компьютеров, которые не требуют безопасности, но должны иметь возможность дать соответствующий отклик при запросе безопасной связи от другого компьютера.
Как и предопределенные правила, предопределенные действия фильтра могут быть активизированы без дополнительной настройки, изменены или использованы в качестве шаблона при определении собственных действий фильтра. Следующие действия фильтра доступны для активизации в любом новом или существующем правиле.
· Требовать безопасность. Высокая безопасность. Небезопасные связи не допускаются.
· Запрос безопасности (необязательно). Безопасность от средней до низкой. Небезопасная связь допускается для обеспечения связи с компьютерами, не выполняющими согласование IPSEC.
Каждый метод безопасности определяет требования к безопасности подключения, к которому применяется соответствующее правило. Создание нескольких методов безопасности повышает шансы нахождения общего метода для двух компьютеров.
· Высокая безопасность (EPS). Использует протокол ESP для обеспечения конфиденциальности (шифрования данных), проверки подлинности, отсутствия повторов и проверки целостности, благодаря чему подходит в ситуациях, когда требуется высокий уровень
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.