我已经在 Server 2012 R2 上设置了 Windows 防火墙,始终要求所有连接安全规则都使用 IPSec 加密。
然后,我为特定端口和服务指定了入站规则,并使用“要求对连接进行加密”操作对其进行配置。
所有这些设置都是通过组策略完成的。
这对于 IPv4 连接来说很有效,但对于 IPv6 连接则不行。我尝试了 ICMP6 和 TCP/UDP 端口,结果相同。有时我可以在防火墙日志中看到阻止(特别是对于 TCP 端口,但对于 ICMP6 并不总是如此)。
我开始怀疑 Windows 连接安全实现中是否不支持 IPv6 IPSec 加密?我尝试研究这个问题,但除了 Windows Server 2003 的旧文档外,没有找到任何支持这一点的内容。
我想补充的是,本例中的用例是 Windows Clustering,它使用 IPv6 进行内部集群通信。这可以禁用,但 MS 不支持,所以我宁愿不这样做。
我实际上不需要对服务器内通信进行加密,但如果我不需要对所有连接安全规则进行加密(在全局防火墙设置中),那么需要加密的单个规则似乎不起作用。
或者是否可以不要求所有规则加密,而只要求某些规则加密,例如端口 445 上的所有通信?
我添加了一些图片来阐明我正在使用的设置。
全局防火墙设置:
示例入站规则中的操作设置:
