公用程式軟體

建立 IP 安全原則
設定金鑰交換
設定 IP 篩選器
設定篩選器動作
指派 IP 安全原則

在電腦上設定 IPSec。

請執行以下步驟，且務必依序執行所有步驟。

筆記

請先設定機器，再設定電腦。

設定機器

建立 IP 安全原則

按一下 [開始]，選擇 [控制面板] > [系統及安全性] > [管理工具]。
按兩下 [本機安全原則]。
在 [本機安全性原則] 視窗上，按一下 [IP 安全性原則 (位置：本機電腦)]。
從 [動作] 選單中，選擇 [建立 IP 安全原則]。
在 [IP 安全原則精靈] 中按一下 [下一步]。
輸入 [名稱] 與 [描述]，然後按一下 [下一步]。
取消選取 [啟動預設回應規則 (僅適用舊版 Windows)] 核取方塊，然後按一下 [下一步]。
選取 [編輯內容] 核取方塊，按一下 [完成]。

設定金鑰交換

在新 IP 安全原則內容視窗上，選擇 [一般] 頁籤。
按一下 [設定值]。
在 [金鑰交換設定] 視窗上，輸入 [每分鐘須驗證並產生新金鑰] 的設定值 (分鐘)。

注意

所指定的數值必須與「設定機器」中「第 1 階段專案」設定的 [IKE 加密演算法]、[IKE Hush 演算法] 及 [Diffie-Hellman 群組] 設定值一致。雖然 [存留期] 的單位為秒鐘，但是請在此步驟中輸入分鐘。
按一下 [方法]。
在 [金鑰交換安全方法] 視窗上按一下 [新增]。
指定 [完整性演算法]、[加密演算法] 及 [Diffie-Hellman 群組]。

注意

指定設定值，必須與「設定機器」中「第 1 階段專案」設定的 [IKE 加密演算法]、[IKE Hush 演算法] 及 [Diffie-Hellman 群組] 設定值一致。
按一下 [OK]。
在 [金鑰交換安全方法] 視窗上選擇 [確定]。
在 [金鑰交換設定] 視窗上按一下 [確定]。

設定 IP 篩選器

在 IP 安全原則內容視窗上，選擇 [規則] 頁籤。
按一下 [新增]。
在 [安全原則精靈] 中按一下 [下一步]。
在 [通道端點] 畫面上選擇 [此規則不指定通道]，然後按一下 [下一步]。
在 [網路類型] 畫面上，選擇 [所有網路連線]，然後按一下 [下一步]。
在 [IP 篩選器清單] 畫面上按一下 [新增]。
在 [IP 篩選器清單] 視窗上按一下 [新增]。
在 [IP 篩選器精靈] 上按一下 [下一步]。
在 [IP 篩選器描述和鏡像屬性] 畫面上按一下 [下一步]。
在 [IP 流量來源] 畫面上按一下 [下一步]。
在 [IP 流量目的地] 畫面上按一下 [下一步]。
在 [IP 通訊協定類型] 畫面上按一下 [下一步]。
按一下 [完成]。

設定篩選器動作

在 [IP 篩選器清單] 視窗上按一下 [確定]。
在 [安全規則精靈] 上，從清單中選擇新 IP 篩選器，然後按一下 [下一步]。
在 [篩選器動作] 畫面上按一下 [新增]。
在 [篩選器動作精靈] 上按一下 [下一步]。
在 [Filter Action Name (篩選器動作名稱)] 畫面上輸入 [Name (名稱)] 與 [Description (說明)]，然後按一下 [Next (下一步)]。
在 [篩選器動作一般選項] 畫面上選擇 [交涉安全]，然後按一下 [下一步]。
在 [與不支援 IPsec 的電腦通訊] 畫面上選擇 [不允許不安全的通訊]，然後按一下 [下一步]。
在 [IP 流量安全] 畫面上選擇 [自訂]，然後按一下 [設定值]。
在 [自訂安全方法設定] 視窗上完成設定，然後按一下 [確定]。

注意

在「設定機器」的「第 2 階段專案」中設定與 [ESP Encryption Algorithm (ESP 加密演算法)]、[ESP Authentication Algorithm (ESP 驗證演算法)]、[AH Authentication Algorithm (AH 驗證演算法)] 和 [LifeTime (存留期)] 所指定的相同值。
在 [IP 流量安全] 畫面上按一下 [下一步]。
選取 [編輯內容] 核取方塊，按一下 [完成]。

指派 IP 安全原則

若要啟用金鑰 PFS，請在 [篩選器動作內容] 視窗上選擇 [使用工作期間金鑰完整轉寄密碼 (PFS)]。
若要從 IPv6 全域地址執行 IPSec 通訊，請選擇 [接受不安全通訊，但永遠使用 IPsec 回應] 核取方塊。
按一下 [確定]。
選擇新篩選器動作，然後按一下 [下一步]。
在 [驗證方法] 畫面上選擇驗證方法，然後按一下 [下一步]。

注意

如果在「設定機器」中設定預先共用金鑰，請啟用 [Authentication Method (驗證方法)] 畫面的「使用此字串保護金鑰交換 (預先共用金鑰)」，並輸入預先共用金鑰。
按一下 [完成]。
在新 IP 安全原則內容視窗上，選擇 [確定]。
在 [本機安全原則] 上選擇新 IP 安全原則。
從 [動作] 選單中選擇 [指派]。
檢查新 IP 安全原則的 [指派的原則] 是否已顯示為 [是]。
在 [本機安全原則] 畫面上按一下 [x]。

設定電腦

筆記

建立 IP 安全原則

按一下 [開始]，選擇 [控制面板] > [系統及安全性] > [管理工具]。

按兩下 [本機安全原則]。

在 [本機安全性原則] 視窗上，按一下 [IP 安全性原則 (位置：本機電腦)]。

從 [動作] 選單中，選擇 [建立 IP 安全原則]。

在 [IP 安全原則精靈] 中按一下 [下一步]。

輸入 [名稱] 與 [描述]，然後按一下 [下一步]。

取消選取 [啟動預設回應規則 (僅適用舊版 Windows)] 核取方塊，然後按一下 [下一步]。

選取 [編輯內容] 核取方塊，按一下 [完成]。

設定金鑰交換

在新 IP 安全原則內容視窗上，選擇 [一般] 頁籤。

按一下 [設定值]。

在 [金鑰交換設定] 視窗上，輸入 [每分鐘須驗證並產生新金鑰] 的設定值 (分鐘)。

注意

按一下 [方法]。

在 [金鑰交換安全方法] 視窗上按一下 [新增]。

指定 [完整性演算法]、[加密演算法] 及 [Diffie-Hellman 群組]。

注意

按一下 [OK]。

在 [金鑰交換安全方法] 視窗上選擇 [確定]。

在 [金鑰交換設定] 視窗上按一下 [確定]。

設定 IP 篩選器

在 IP 安全原則內容視窗上，選擇 [規則] 頁籤。

按一下 [新增]。

在 [安全原則精靈] 中按一下 [下一步]。

在 [通道端點] 畫面上選擇 [此規則不指定通道]，然後按一下 [下一步]。

在 [網路類型] 畫面上，選擇 [所有網路連線]，然後按一下 [下一步]。

在 [IP 篩選器清單] 畫面上按一下 [新增]。

在 [IP 篩選器清單] 視窗上按一下 [新增]。

在 [IP 篩選器精靈] 上按一下 [下一步]。

在 [IP 篩選器描述和鏡像屬性] 畫面上按一下 [下一步]。

在 [IP 流量來源] 畫面上按一下 [下一步]。

在 [IP 流量目的地] 畫面上按一下 [下一步]。

在 [IP 通訊協定類型] 畫面上按一下 [下一步]。

按一下 [完成]。

設定篩選器動作

在 [IP 篩選器清單] 視窗上按一下 [確定]。

在 [安全規則精靈] 上，從清單中選擇新 IP 篩選器，然後按一下 [下一步]。

在 [篩選器動作] 畫面上按一下 [新增]。

在 [篩選器動作精靈] 上按一下 [下一步]。

在 [Filter Action Name (篩選器動作名稱)] 畫面上輸入 [Name (名稱)] 與 [Description (說明)]，然後按一下 [Next (下一步)]。

在 [篩選器動作一般選項] 畫面上選擇 [交涉安全]，然後按一下 [下一步]。

在 [與不支援 IPsec 的電腦通訊] 畫面上選擇 [不允許不安全的通訊]，然後按一下 [下一步]。

在 [IP 流量安全] 畫面上選擇 [自訂]，然後按一下 [設定值]。

在 [自訂安全方法設定] 視窗上完成設定，然後按一下 [確定]。

注意

在 [IP 流量安全] 畫面上按一下 [下一步]。

選取 [編輯內容] 核取方塊，按一下 [完成]。

指派 IP 安全原則

若要啟用金鑰 PFS，請在 [篩選器動作內容] 視窗上選擇 [使用工作期間金鑰完整轉寄密碼 (PFS)]。

若要從 IPv6 全域地址執行 IPSec 通訊，請選擇 [接受不安全通訊，但永遠使用 IPsec 回應] 核取方塊。

按一下 [確定]。

選擇新篩選器動作，然後按一下 [下一步]。

在 [驗證方法] 畫面上選擇驗證方法，然後按一下 [下一步]。

注意

按一下 [完成]。

在新 IP 安全原則內容視窗上，選擇 [確定]。

在 [本機安全原則] 上選擇新 IP 安全原則。

從 [動作] 選單中選擇 [指派]。

檢查新 IP 安全原則的 [指派的原則] 是否已顯示為 [是]。

在 [本機安全原則] 畫面上按一下 [x]。