IPSec có ba chính sách mặc định được tạo sẵn tên là: Client, Server và
Secure server. Cả ba chính sách này đều ở trạng thái chưa áp dụng. Bạn cần lưu ý,
ngay cùng một thời điểm thì chỉ có một chính sách được áp dụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt động hiện tại sẽ trở về trạng thái không hoạt động.Chi tiết của ba chính sách tạo sẵn này:
- Client (respond only)
Đây là chính sách thụ động, chính sách này quy định máy tính của bạn không chủ động dùng IPSec trừ khi được yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phép bạn có thể kết nối cả với các máy tính dùng IPSec hoặc không dùng IPSec. Ví dụ: Giả sử bạn đã ấn định chính sách này trên máy client và cố gắng truy cập một website trên một máy server không yêu cầu IPSec. Trong trường hợp này, máy server (web server) sẽ không cố gắng thực hiện IPSec với máy client nên máy
packet).
• Filter Action: Default Response (có nghĩa là thao tác bảo mật không được cấu hình và bộ lọc Negotiate Security filter action được dùng).
• Authentication: Kerberos.
Mặc định quy tắc này sẽ kích hoạt tất cả các chính sách IPSec. Bạn có thể cho quy tắc này không hoạt động, nhưng không thể gỡ bỏ nó.
- Server (request security)
Khi máy chủ thiết lập chính sách này, khi có kết nối đến nó hay từ nó đi nơi khác thì máy chủ sẽ yêu cầu thương lượng phương thức bảo mật (trong windows tất cả các máy tính trong một Domain đều có thể thương lượng bảo mật với nhau qua giao thức Kerberos). Với các máy trả lời là có thể thương lượng bảo mật ví như cùng trong domain có thể sử dụng Kerberos thì hai máy sẽ sử dụng phương thức đó để mã hóa và truyền dữ liệu với nhau. Nhưng khi nó yêu cầu thương lượng bảo mật một số máy không trong Domain thì sẽ không thể thương lượng được thì quá trình truyền dữ liệu vẫn được thực hiện nhưng không được mã hóa thông tin và đáp ứng yêu cầu bảo mật cao.
Thiết lập mặc định này máy chủ sẽ yêu cầu toàn bộ giao tiếp IP phải thương lượng bảo mật trước khi truyền và tự động trả lời cho quá trình thương lượng bảo mật. Nếu thương lượng thất bại quá trình truyền dữ liệu không được mã hóa. Gói ICMP không luôn luôn được cho phép và không cần mã hóa. Trong thiết lập mặc định của Server (request security) bao gồm 3 chính sách bảo mật:
Với thiết lập mặc định này sẽ được áp dụng cho toàn bộ giao tiếp thông qua IP, được áp dụng với Port, IP nguồn là địa chỉ của chính máy yêu cầu, Port và IP đích là các máy tính kết nối với nó.
• IP Filter List: All IP Traffic.
• Filter action: Permit, Request Security, Require Security (mặc đinh là Require Security).
• Authentication: CA, Kerberos, Preshare key (mặc định là Kerberos).
Thiết lập All ICMP Traffic:
• IP Filter List: All ICMP Traffic. • Filter action: Permit.
• Authentication: Không cần xác thực. • Dynamic
• IP Filter List:<Dynamic>. • Filter action: Default Response. • Authentication: Kerberos. - Secure Server (require security)
Chính sách này quy định không cho phép bất kỳ phiên trao đổi dữ liệu nào với server hiện tại mà không dùng IPSec. Chính sách này có ba quy tắc chứa các thiết lập sau:
Thiết lập All IP Traffic:
• IP Filter List: All IP Traffic. • Filter action: Require Security. • Authentication: Không cần xác thực.
Thiết lập All ICMP Trafic:
• IP Filter List: All ICMP Traffic. • Filter action: Permit.
• Authentication: Kerberos.
• Dynamic (Default response rule): • IP Filter List: <Dynamic>. • Filter action: Default Response. • Authentication: Kerberos.