是否可以将 Microsoft 的“安全连接规则”（IPSec）与 VPN 一起使用？

IPSec 策略是基于源/目标地址应用的，因此它们不应该关心流量的实际流向；所以，是的，将它们应用于通过 VPN 进行通信的计算机应该可以工作。

但是，当您可以加密 VPN 本身时，您为什么需要这样的东西呢？

编辑：

为了使 IPSec 工作，一些流量需要在相关机器之间流动：

• UDP 端口 500
• UDP 端口 88（如果您使用 Kerberos 身份验证）
• IP 协议 50 和 51

更多信息在这里。

我不知道这是否可以通过 VPN 实现……低级 IP 协议在这里看起来很可能是一个问题。

是的，可以使用嵌套 VPN。这实际上并不像您在更高安全性环境中想象的那样罕见。

请参阅下文，了解在更高安全性环境中更常见的用途

1 Host A --------Router/FW ---IPSEC GRE -------------- Router/FW ------ Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------- Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ----------------- Host B
4 Host A -- Cleartext / Insecure protocol ----------------------------- Host B

第 3 层并没有给您带来太多额外的好处，但这是有可能的！

在国防部中，这种情况并不少见

1 Host A --------Router/FW1 ---IPSEC GRE----------------- Router/FW10 ------ Host B
1 Host A --------Router/FW2 ---IPSEC GRE----------------- Router/FW9 ------- Host B
1 Host A --------Router/FW3 ----IPSEC GRE---------------- Router/FW8 ------- Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------------ Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ---------------------- Host B

关于您的目标的说明：
1) 加密并不意味着 IDS 无法读取。使用预共享机密或证书将使 IDS 能​​够窃听性能损失。
2) 您可以通过 802.1x 进行网络身份验证
3) 如果您无法共享机密/证书，您将希望使用 AH 来查看 IDS
4) 使用 ESP 进行保密
5) 本地和远程主机上的基于主机的 IDS 可以减轻对共享安全/证书的需求
6) NIST 800-77 IPSEC VPN 指南是关于这个主题的一个很好的免费出版物。

如果您如此关心信息的价值，也许您应该从 IPSEC 升级到像HAIPE 这样更安全的东西，并开始研究 1 类加密器？:)

原因可能如下：您需要遵守 PCI 合规性，并且您的业务 LAN 中有一个持卡人数据环境。因此，当您在家或在路上支持时，您可以通过 VPN 连接到企业 LAN，但您不能轻松连接到 CDE 进行管理。您需要双重身份验证，并且显然不希望未经授权的人员（即业务 LAN 中的几乎每个人）能够进入 CDE。