IPSec協議是一個應用十分廣泛、開放的VPN安全協議，它是十分可行的VPN解決方案。而Windows XP及Vista操作系統內置了軟防火墻，通過設置和使用防火墻，用戶可以控制計算機與互聯網之間的通信。用戶也可以通過使用IPsec過濾規則對用于輸入、輸出網絡通信的特定協議和端口組合進行過濾，來控制進、出計算機的數據通信。一般來說，IPsec常被用于確保遠程訪問的安全，但用戶也可以將它用于防御竊聽和惡意修改數據，保證內部網絡通信安全。 

    IPsec過濾規則是通過使用組策略并通過創建和分配一個IPsec策略來實施的，這就允許在域、站點或組織單元層次上來對IPsec進行配置。第一步就是創建和定義過濾規則和操作，如此一來就控制了有哪些協議、端口和IP地址等是被允許或阻止的。這些規則以實現安全操作的策略為基礎，并與客戶端保持一致。要想使用IP安全策略來管理域成員的IPsec策略，用戶必須選擇管理此計算機所屬的活動目錄域(The Active Directory Domain)。用戶可以在管理控制臺（MMC）右側窗格中的IP安全策略上右擊，并選擇管理IP過濾器列表和過濾器動作，來增加、編輯和移除過濾器。下一步就是通過將多種IP過濾器和過濾器動作添加到新策略中來創建一個IPsec策略。如果要將IP安全策略指派到組策略，選擇一個組策略對象，也就是你想要指派IP安全策略對象。下一步，展開計算機配置視圖，單擊“IP安全策略”文件夾，在你想要指派的策略上右擊，單擊“指派”。 

    Ipsec規則可以包含幾個不同過濾規則和活動，這使它非常靈活。它能控制訪問不同的域和計算機，還能用于阻止訪問某些站點或應用程序，如聊天室站點。IPsec協議還可以用于數據的保密、完整性、真實性，但它并不能保證全部網絡通信的安全。具體信息，請參考：Microsoft Knowledge Base article 253169。 

    注意！在使用IPsec策略時，你需要對阻止特定端口所造成的影響有一個清晰的理解。例如，阻止端口135防止DCOM RPC漏洞就會影響活動目錄和Exchange的功能，因為它們也使用135端口。因此，重要的是需要測試過濾確保你已經完成了預定的目標。Windows XP 的Service Pack 2 包含了一個命令行工具ipsecmd.exe,可以用于管理IPsec策略和過濾規則，不過使用起來并不太直觀。可喜的是，Vista已集成了防火墻過濾功能和IPsec保護設置。這些都可以使用Windows 高級安全防火墻來管理。這也就意味著你不太可能設置與IPsec策略相沖突的防火墻過濾器。 

    Windows 2000/XP/2003操作系統提供了對IPSec協議的支持，雖然它提供的功能不是十分完善，但只要你進行合理定制，一樣能非常有效地增強網絡安全。