Чтобы использовать IPSec, компьютер должен иметь возможности авторизации и шифрования. Брандмауэр или другие устройства фильтрации должны использовать фильтры, которые пропускают трафик IPSec. В следующих разделах описываются необходимые требования .
Использование Kerberos V5 или сертификатов для проверки подлинности
Системы Windows ХР Professional, входящие в состав домена, могут использовать для проверки подлинности Kerberos V5, поэтому им не нужны сертификаты для аутентификации во внутренней сети. Системы Windows ХР Home Edition (которые не могут входить в домен) и системы Windows ХР Professional, невходящие в домен, для аутентификации нуждаются в сертификатах.
Шифрование DES или DES3
Чтобы использовать IPSec, система должна поддерживать шифрование Data Encryption Standard (Стандарт шифрования данных, DES), а лучше - Triple DES (Стандарт тройного шифрования данных, 3DES). DES использует 56-битный ключ, a Triple DES — два 56-битных ключа.
Для систем Windows ХР Professional это не проблема. Но если вы хотите использовать 3DES для IPSec-защищенного подключения, убедитесь, что на компьютерах с Windows 2000 установлен пакет обновления Service Pack 2 (или более поздний) или High Encryption Pack. В противном случае эти компьютеры будут использовать шифрование DES вместо 3DES.
Фильтрация пакетов
Чтобы применить IPSec, исходный компьютер и компьютер назначения должны знать, какой трафик защищается. Компьютеры, через которые проходит трафик, ничего о нем знать не должны — если только они его не фильтруют.
При использовании устройства, которое фильтрует пакеты между компьютером, подключенным к Интернету, и компьютерами в граничной сети, нужно настроить фильтрацию, чтобы гарантировать прохождение IPSec-защищенных пакетов через это устройство. В табл. 43.1 перечислены основные настройки фильтрации, которые должны быть прописаны в устройстве.