Modalità trasporto individuazione negoziazione in modalità limite
La modalità trasporto di individuazione negoziazione nello scenario dei criteri IPsec in modalità limite richiede la protezione della modalità di trasporto IPsec per tutto il traffico corrispondente. Se la negoziazione IKE/AuthIP ha esito negativo, le connessioni in ingresso e in uscita possono eseguire il fallback a testo non crittografato.
Questo criterio IPsec viene in genere usato nei computer a cui si accede sia da computer con supporto IPsec che da computer con funzionalità non IPsec.
Un esempio di potenziale scenario di modalità trasporto di individuazione negoziazione è "Proteggere tutto il traffico dati unicast, ad eccezione di ICMP, usando la modalità di trasporto IPsec e abilitare l'individuazione della negoziazione in modalità limite".
Per implementare questo esempio a livello di codice, usare la configurazione WFP seguente.
Aggiungere uno o entrambi i contesti del provider di criteri MM seguenti.
- Per IKE, un contesto del provider di criteri di tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Per AuthIP, un contesto del provider di criteri di tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nota
Verrà negoziato un modulo di keying comune e verranno applicati i criteri MM corrispondenti. AuthIP è il modulo di keying preferito se sono supportati sia IKE che AuthIP.
Per ognuno dei contesti aggiunti nel passaggio 1, aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore Condizioni di filtro Vuoto. Tutto il traffico corrisponderà al filtro. providerContextKey GUID del contesto del provider MM aggiunto al passaggio 1. Aggiungere uno o entrambi i contesti del provider di criteri della modalità trasporto QM seguenti e impostare il flag IPSEC_POLICY_FLAG_ND_BOUNDARY .
- Per IKE, un contesto del provider di criteri di tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Per AuthIP, un contesto del provider di criteri di tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Questo contesto può facoltativamente contenere i criteri di negoziazione em (AuthIP Extended Mode).
Nota
Verrà negoziato un modulo di keying comune e verranno applicati i criteri QM corrispondenti. AuthIP è il modulo di keying preferito se sono supportati sia IKE che AuthIP.
Per ognuno dei contesti aggiunti nel passaggio 1, aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore Condizioni di filtro Vuoto. Tutto il traffico corrisponderà al filtro. providerContextKey GUID del contesto del provider QM aggiunto al passaggio 1. Aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Esentare il traffico ICMP da IPsec aggiungendo un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast FWPM_CONDITION_IP_PROTOCOL condizione di filtro **IPPROTO_ICMP{V6}**Queste costanti sono definite in winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Esentare il traffico ICMP da IPsec aggiungendo un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast FWPM_CONDITION_IP_PROTOCOL condizione di filtro **IPPROTO_ICMP{V6}**Queste costanti sono definite in winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
In FWPM_LAYER_IKEEXT_V{4|6} configurare i criteri di negoziazione MM
In FWPM_LAYER_IPSEC_V{4|6} configurare i criteri di negoziazione QM e EM
In FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurare le regole di filtro in ingresso per pacchetto
In FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurare le regole di filtro in uscita per pacchetto
Nota
A differenza della modalità trasporto di individuazione negoziazione, per la modalità trasporto individuazione negoziazione nei criteri modalità limite non è necessario aggiungere un filtro ai livelli FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} perché questo criterio consente connessioni non crittografate non protette.