应使用“高级安全Windows Defender防火墙”创建连接安全规则,或通过PowerShell命令New-NetIPSecRule部署,亦可导入预配置XML策略文件实现IPsec配置。
如果您在Windows 11中需要为特定通信流量启用端到端加密或访问控制,但无法通过传统组策略编辑器(gpedit.msc)直接配置IPsec策略,则应转向内置的“高级安全Windows Defender防火墙”界面。该界面支持创建连接安全规则,可替代旧版IPSec策略管理单元,实现传输模式与隧道模式下的安全联盟(SA)配置。以下是具体操作步骤:
一、使用高级安全Windows Defender防火墙创建连接安全规则
此方法利用图形化界面配置IPsec连接安全规则,适用于主机间传输模式保护,无需安装额外工具或修改注册表,兼容Windows 11所有正式版本(包括家庭版以外的版本)。规则生效后,系统将根据匹配条件自动协商密钥并应用加密/身份验证策略。
1、按 Win + R 键打开运行对话框,输入 wf.msc 并回车,启动高级安全Windows Defender防火墙管理控制台。
2、在左窗格中右键单击 连接安全规则,选择 新建连接安全规则...。
3、在向导首页点击 下一步,进入规则类型选择页;选择 自定义,再点击 下一步。
4、在“要求身份验证”页中,勾选 要求身份验证以建立连接,点击 下一步。
5、在“身份验证方法”页中,选择 计算机证书 或 预共享密钥;若选择证书,请确保本地计算机存储中已安装有效的IPsec证书;若选择预共享密钥,请输入双方一致的8位以上且不含空格的字符串,点击 下一步。
6、在“服务器身份验证”页中,保持默认设置(不验证服务器身份),点击 下一步。
7、在“IP地址筛选器”页中,点击 添加...,设置源IP地址范围(如 任何IP地址)与目标IP地址(如 特定IP地址并填入对端IPv4地址),点击 确定 后继续 下一步。
8、在“协议和端口”页中,可指定TCP/UDP端口号(如仅保护端口 3389 的RDP流量),或保留默认的“任何端口”,点击 下一步。
9、在“配置文件”页中,勾选适用的网络位置(域、专用、公用),点击 下一步。
10、在最后一页输入规则名称(如 Host-to-Host IPsec RDP Protection),点击 完成。
二、通过PowerShell命令行快速部署IPsec规则
此方法适合批量部署或脚本化运维场景,使用NetSecurity模块中的New-NetIPSecRule cmdlet直接创建规则,绕过GUI交互,所有参数均可精确控制,且支持导出为.ps1脚本复用。
还木有评论哦,快来抢沙发吧~