Windows 11如何配置IP安全策略_Windows 11高级防火墙中设置IPSec规则

应使用“高级安全Windows Defender防火墙”创建连接安全规则，或通过PowerShell命令New-NetIPSecRule部署，亦可导入预配置XML策略文件实现IPsec配置。

如果您在Windows 11中需要为特定通信流量启用端到端加密或访问控制，但无法通过传统组策略编辑器（gpedit.msc）直接配置IPsec策略，则应转向内置的“高级安全Windows Defender防火墙”界面。该界面支持创建连接安全规则，可替代旧版IPSec策略管理单元，实现传输模式与隧道模式下的安全联盟（SA）配置。以下是具体操作步骤：

一、使用高级安全Windows Defender防火墙创建连接安全规则

此方法利用图形化界面配置IPsec连接安全规则，适用于主机间传输模式保护，无需安装额外工具或修改注册表，兼容Windows 11所有正式版本（包括家庭版以外的版本）。规则生效后，系统将根据匹配条件自动协商密钥并应用加密/身份验证策略。

1、按 Win + R 键打开运行对话框，输入 wf.msc 并回车，启动高级安全Windows Defender防火墙管理控制台。

2、在左窗格中右键单击 连接安全规则，选择 新建连接安全规则...。

3、在向导首页点击 下一步，进入规则类型选择页；选择 自定义，再点击 下一步。

4、在“要求身份验证”页中，勾选 要求身份验证以建立连接，点击 下一步。

5、在“身份验证方法”页中，选择 计算机证书 或 预共享密钥；若选择证书，请确保本地计算机存储中已安装有效的IPsec证书；若选择预共享密钥，请输入双方一致的8位以上且不含空格的字符串，点击 下一步。

6、在“服务器身份验证”页中，保持默认设置（不验证服务器身份），点击 下一步。

7、在“IP地址筛选器”页中，点击 添加...，设置源IP地址范围（如 任何IP地址）与目标IP地址（如 特定IP地址并填入对端IPv4地址），点击 确定 后继续 下一步。

8、在“协议和端口”页中，可指定TCP/UDP端口号（如仅保护端口 3389 的RDP流量），或保留默认的“任何端口”，点击 下一步。

9、在“配置文件”页中，勾选适用的网络位置（域、专用、公用），点击 下一步。

10、在最后一页输入规则名称（如 Host-to-Host IPsec RDP Protection），点击 完成。

二、通过PowerShell命令行快速部署IPsec规则

此方法适合批量部署或脚本化运维场景，使用NetSecurity模块中的New-NetIPSecRule cmdlet直接创建规则，绕过GUI交互，所有参数均可精确控制，且支持导出为.ps1脚本复用。

Trae国内版

国内首款AI原生IDE，专为中国开发者打造

2045

查看详情

1、以管理员身份运行PowerShell。

2、执行以下命令创建一条强制使用预共享密钥的连接安全规则：

New-NetIPSecRule -DisplayName "PSec-RDP-PSK" -InboundSecurity Require -OutboundSecurity Require -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.5.100 -AuthenticationMethod PreSharedKey -KeyEncodingFormat Hex -Key "4142434431323334"

3、若需使用证书认证，替换参数为：-AuthenticationMethod MachineCert，并确保本地计算机证书存储中存在有效IPsec用途证书。

4、验证规则是否生效：运行 Get-NetIPSecRule | Where-Object {$_.DisplayName -eq "PSec-RDP-PSK"}，确认输出中 Enabled 字段值为 True。

三、导入预配置的IPsec策略XML文件

当已有在其他Windows Server或Windows 11设备上导出的IPsec策略XML文件时，可通过netsh命令一次性导入全部规则，适用于策略迁移或标准化部署。该方式保留原始筛选器列表、筛选器操作及策略分配状态。

1、将XML策略文件（例如 ipsec-policy.xml）复制至目标Windows 11设备的任意本地路径（如 C:\temp\）。

2、以管理员身份运行CMD或PowerShell。

3、执行导入命令：netsh ipsec static importpolicy c:\temp\ipsec-policy.xml。

4、执行策略激活命令：netsh ipsec static set policy name="导入的策略名" assign=y；策略名需与XML中字段完全一致，区分大小写。

5、检查策略状态：netsh ipsec static show policy，确认对应策略的 Assigned 列显示为 Yes。

以上就是Windows 11如何配置IP安全策略_Windows 11高级防火墙中设置IPSec规则的详细内容，更多请关注php中文网其它相关文章！