Transportmodus für aushandlungsermittlung im Grenzmodus
Der Vermittlungsermittlungs-Transportmodus im IPsec-Richtlinienszenario für den Grenzmodus fordert den IPsec-Transportmodusschutz für den gesamten übereinstimmenden Datenverkehr an. Wenn die IKE/AuthIP-Aushandlung fehlschlägt, können sowohl eingehende als auch ausgehende Verbindungen auf Klartext zurückgreifen.
Diese IPsec-Richtlinie wird in der Regel auf Computern verwendet, auf die sowohl von IPsec-fähigen als auch nicht-IPsec-fähigen Computern zugegriffen wird.
Ein Beispiel für ein potenzielles Vermittlungsermittlungs-Transportmodusszenario ist "Sichern des gesamten Unicastdatenverkehrs, mit Ausnahme von ICMP, mithilfe des IPsec-Transportmodus und Aktivieren der Aushandlungsermittlung im Grenzmodus".
Verwenden Sie die folgende WFP-Konfiguration, um dieses Beispiel programmgesteuert zu implementieren.
Fügen Sie einen oder beide der folgenden MM-Richtlinienanbieterkontexte hinzu.
- Für IKE, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXT.
- Für AuthIP ist ein Richtlinienanbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Anmerkung
Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende MM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der gesamte Datenverkehr entspricht dem Filter. providerContextKey- GUID des mm-Anbieterkontexts, der in Schritt 1 hinzugefügt wurde. Fügen Sie einen oder beide der folgenden QM-Transportmodusrichtlinienanbieterkontexte hinzu, und legen Sie das IPSEC_POLICY_FLAG_ND_BOUNDARY Flag fest.
- Für IKE, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Für AuthIP, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Dieser Kontext kann optional die AuthIP Extended Mode (EM)-Aushandlungsrichtlinie enthalten.
Anmerkung
Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende QM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der gesamte Datenverkehr entspricht dem Filter. providerContextKey- GUID des in Schritt 1 hinzugefügten QM-Anbieterkontexts. Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast- FWP_ACTION_CALLOUT_TERMINATING action.calloutKey- FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext- FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Ausgenommen den ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast FWPM_CONDITION_IP_PROTOCOL Filterbedingung **IPPROTO_ICMP{V6}**Diese Konstanten werden in winsock2.h definiert. FWP_ACTION_PERMIT Gewichtung FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast FWP_ACTION_CALLOUT_TERMINATING action.calloutKey- FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6}- rawContext- FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Ausgenommen den ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast FWPM_CONDITION_IP_PROTOCOL Filterbedingung **IPPROTO_ICMP{V6}**Diese Konstanten werden in winsock2.h definiert. FWP_ACTION_PERMIT Gewichtung FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
Bei FWPM_LAYER_IKEEXT_V{4|6} mm-Aushandlungsrichtlinie einrichten
Bei FWPM_LAYER_IPSEC_V{4|6} setup QM- und EM-Aushandlungsrichtlinie
Bei FWPM_LAYER_INBOUND_TRANSPORT_V{4|6}-Setup eingehender Paketfilterregeln
Bei FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} richten Sie ausgehende Filterregeln pro Paket
Anmerkung
Im Gegensatz zum Transportmodus für die Aushandlungsermittlung im Grenzmodus-Richtlinie ist es nicht erforderlich, einen Filter auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} Ebenen hinzuzufügen, da diese Richtlinie eingehende ungeschützte Klartextverbindungen zulässt.