仅对Windows中的传入连接使用IPSec

Question

我有一个带有两个适配器的服务器(WS2016)，在每个适配器上分配了不同的IP，但是具有相同的网关。

我想要实现的是，到其中一个IP的所有传入连接都必须使用IPsec (传输模式)来保护，而所有传出连接都不应该尝试使用IPSec (除非对方请求)。

我在其中一个适配器上设置了IPSec，使用"netsh高级防火墙consec添加规则“和"action=requireinrequestout”。

它可以工作，因为我只能使用IPSec连接到IPSec IP，而不阻塞任何传出连接。

但是，我的windows事件日志中充满了事件代码4653 (“IPsec主模式协商失败”)，它似乎主要用于传出连接(实际上主要是DNS查找)。实际上，windows是在任意地为传出连接使用任何一个适配器，但是当它通过IPSec适配器时，它尝试与对手方建立一个IPSec连接，这个连接不能工作，然后切换到一个常规连接。这不是一个很大的问题，但首先，它确实在减缓连接，我宁愿做正确的事情，即让所有传出连接都不尝试使用IPSec。

netsh高级防火墙consec有一个动作“需要学习”，但它只适用于隧道模式。

我尝试将IPSec IP的度量增加到1000，关联的网关度量也增加到1000。路由打印确实显示了IPSec路由的更高的度量，但是窗口似乎忽略了这一更高的度量，并且仍然通过IPSec适配器发送传出数据包。

我尝试专门为DNS服务器设置静态路由，但windows似乎忽略了这些静态路由，并使用了IPSec适配器。

因此，我的问题是:是否有一种方法可以实现IPSec，仅用于服务器上的传入连接，而不用于传出连接？

Answer 1

用你的评论来澄清，我认为这会做你想做的事。

我假设192.168.1.2是受保护的接口，192.168.1.3是非受保护的接口。

创建专用连接安全规则集，如下所示。

端点1应仅设置为192.168.1.2，这将阻止在192.168.1.3上生成任何事件。

在此规则下，需要身份验证、入站和请求出站。

假设SMB是您真正想要保护的，为规则将协议和端口设置为TCP 445，也是为了避免过多的噪音。这应该停止任何额外的噪音，从DNS查找。

在用于IPSEC保护的防火墙规则中，您希望将本地IP作用域设置为192.168.1.2和“如果安全允许”设置，并且本地端口为tcp 445。