Außer im Fall einer Regel zum Blockieren oder Zulassen löst eine IP-Filterliste Sicherheitsaushandlungen aus, die auf Übereinstimmung mit der Quelle, dem Ziel und der IP-Datenübertragungsart basieren. Mit diesem IP-Paketfiltertyp kann der Administrator genau definieren, welcher IP-Datenverkehr gesichert wird. Jede IP-Filterliste enthält einen oder mehrere Filter, über die die IP-Adressen und Datenverkehrstypen definiert werden. Eine einzige IP-Filterliste kann für mehrere Szenarios der Datenübertragung verwendet werden.
IPsec erfordert, dass in der Filterliste sowohl ein eingehender Filter als auch ausgehender Filter zwischen den Computern angegeben ist. Dies gilt jedoch nicht für Regeln zum Blockieren und Zulassen. Eingehende Filter werden auf den eingehenden Datenverkehr angewendet, was dem empfangenden Computer ermöglicht, auf Anforderungen gesicherter Datenübertragung zu antworten oder die Datenübertragung auf Übereinstimmung mit der IP-Filterliste zu überprüfen. Ausgehende Filter werden auf den von einem Computer ausgehenden Datenverkehr angewendet und führen vor dem Senden des Datenverkehrs eine Sicherheitsaushandlung durch.
Durch Aktivieren des Kontrollkästchens Gespiegelt können Sie automatisch zwei Filter auf der Grundlage der Filtereinstellungen erstellen: einen für den Datenverkehr zum Ziel und einen für den Datenverkehr vom Ziel. Dies ermöglicht die zweiseitige Kommunikation mit anderen Computern.
Filterlisteneinstellungen
Filterlisten (und Filteraktionen) können beim Erstellen einer Richtlinie oder vor dem Erstellen einer Richtlinie definiert werden. Filterlisten stehen für beliebige Richtlinien zur Verfügung. Um eine Filterliste zu definieren, klicken Sie mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinie, und wählen Sie IP-Filterlisten und Filteraktionen verwalten aus.
Jeder Filter definiert eine Teilmenge des eingehenden oder ausgehenden Netzwerkverkehrs, auf das die Filteraktion reagiert, und zwar durch Sichern des Datenverkehrs (mit Authentifizierung, Datenintegrität oder Datenverschlüsselung), vollständiges Blockieren oder Zulassen (ohne Authentifizierung, Datenintegrität oder Datenverschlüsselung). Für den gesamten Datenverkehr, auf den die zugeordnete Regel angewendet wird, muss ein Filter eingerichtet sein. Ein Filter beinhaltet die folgenden Einstellungen:
- Die Quell- und Zieladresse des IP-Pakets. Sie können eine beliebige dem IPSec-Peer zugewiesene IP-Adresse, eine einzelne IP-Adresse, IP-Adressen nach DNS-Name oder Adressgruppen für das Angeben von IP-Subnetzen konfigurieren.
- Das Protokoll, das zum Übertragen des Pakets verwendet wird. Damit werden automatisch alle Protokolle der TCP/IP-Protokollsuite abgedeckt. Der Filter kann jedoch bei Bedarf individuell für ein Protokoll (einschließlich benutzerdefinierter Protokolle) konfiguriert werden.
- Der Quell- und Zielport des Protokolls für TCP und UDP. Standardmäßig können alle TCP- und UDP-Ports verwendet werden. Es ist aber auch möglich, diese Einstellung nur für bestimmte TCP- und UDP-Ports zu konfigurieren.
 | Wichtig |
Die DNS-Namensauflösung erfolgt nur dann, wenn die Filterliste erstellt und anschließend nicht aktualisiert wird. Wenn sich also die IP-Adresse ändert, wird die Richtlinie nicht aktualisiert. Um die IP-Adresse zu aktualisieren, müssen Sie die Richtlinie bearbeiten. |
 | So erstellen Sie eine Filterliste mithilfe des Dialogfelds "Eigenschaften für Neue Regel" |
Wählen Sie im Dialogfeld Eigenschaften von IP-Sicherheitsrichtlinie die richtige IPSec-Regel aus, und klicken Sie auf Bearbeiten. Sie können auch eine neue Regel erstellen, indem Sie auf Hinzufügen klicken.
Deaktivieren Sie auf der Registerkarte IP-Filterliste das Kontrollkästchen Assistenten verwenden, wenn Sie die Filterliste mithilfe des Eigenschaftendialogfelds erstellen möchten. Lassen Sie das Kontrollkästchen aktiviert, wenn Sie den Assistenten verwenden möchten. Klicken Sie auf Hinzufügen. Die folgenden Anweisungen gelten für das Erstellen einer Filterliste über das Dialogfeld.
Wählen Sie auf der Registerkarte Adressen des Dialogfelds Eigenschaften von IP-Filter eine (lokale) Quell-IP-Adresse und eine Ziel-IP-Adresse (eines IPSec-Peers) aus.
Wählen Sie auf der Registerkarte Protokoll den passenden Protokolltyp für den Filter aus.
(Optional) Geben Sie auf der Registerkarte Beschreibung eine Beschreibung des Filters ein. Diese Beschreibung hilft Ihnen dabei, beim Durchsuchen der Filter einen Filter schneller zu identifizieren, ohne seine Eigenschaften öffnen zu müssen.
Klicken Sie auf OK.
Wiederholen Sie die Schritte 4 bis 8, um der Liste weitere Filter hinzuzufügen.
Geben Sie im Dialogfeld IP-Filterliste einen beschreibenden Namen für die Filterliste ein. Klicken Sie auf OK, um die Filterliste der Regel hinzuzufügen.
Wählen Sie im Dialogfeld Eigenschaften für Neue Regel die Filterliste aus.
| So erstellen Sie eine Filterliste mithilfe des Dialogfelds "IP-Filterlisten und Filteraktionen verwalten" |
Klicken Sie mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinie, und wählen Sie IP-Filterlisten und Filteraktionen verwalten aus.
Klicken Sie auf der Registerkarte IP-Filterlisten verwalten auf Hinzufügen.
Deaktivieren Sie im Dialogfeld IP-Filterliste das Kontrollkästchen Assistenten verwenden, wenn Sie die Filterliste mithilfe des Eigenschaftendialogfelds erstellen möchten. Lassen Sie das Kontrollkästchen aktiviert, wenn Sie den Assistenten verwenden möchten. Klicken Sie auf Hinzufügen. Mithilfe der folgenden Schritte können Sie eine Filterliste über das Dialogfeld erstellen.
Wählen Sie auf der Registerkarte Adressen des Dialogfelds mit den IP-Filtereigenschaften eine IP-Quelladresse (lokale Adresse) und eine IP-Zieladresse (eine IPsec-Peeradresse) aus.
Wählen Sie auf der Registerkarte Protokoll den Protokolltyp aus, der dem Filter entspricht.
(Optional) Geben Sie auf der Registerkarte Beschreibung eine Beschreibung für den Filter ein. Diese Beschreibung kann Ihnen beim Durchsehen der Filter helfen und ermöglicht das schnelle Erkennen des Filters, ohne dass die Filtereigenschaften geöffnet werden müssen.
Klicken Sie auf OK.
Wiederholen Sie die Schritte 4 bis 8, um der Liste weitere Filter hinzuzufügen.
Geben Sie im Dialogfeld IP-Filterliste einen beschreibenden Namen für die Filterliste ein. Klicken Sie auf OK, um der Regel die Filterliste hinzuzufügen.