modalità di sicurezza trasporto
Lo scenario dei criteri IPsec della modalità trasporto richiede la protezione della modalità di trasporto IPsec per tutto il traffico corrispondente. Qualsiasi traffico di testo chiaro corrispondente viene eliminato fino al completamento della negoziazione IKE o AuthIP. Se la negoziazione ha esito negativo, la connettività con l'indirizzo IP corrispondente rimarrà interrotta.
Un esempio di possibile scenario di modalità trasporto è "Proteggere tutto il traffico dati unicast, ad eccezione di ICMP, usando la modalità di trasporto IPsec".
Per implementare questo esempio a livello di codice, usare la configurazione WFP seguente.
Aggiungere uno o entrambi i contesti del provider di criteri MM seguenti.
- Per IKE, un contesto del provider di criteri di tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Per AuthIP, un contesto del provider di criteri di tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nota
Verrà negoziato un modulo comune di chiave e verrà applicato il criterio MM corrispondente. AuthIP è il modulo di chiave preferito se sono supportati sia IKE che AuthIP.
Per ognuno dei contesti aggiunti al passaggio 1, aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore Condizioni di filtro Vuoto. Tutto il traffico corrisponderà al filtro. providerContextKey GUID del contesto del provider MM aggiunto nel passaggio 1. Aggiungere uno o entrambi i contesti del provider di criteri di modalità trasporto QM seguenti.
- Per IKE, un contesto del provider di criteri di tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Per AuthIP, un contesto del provider di criteri di tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Questo contesto può facoltativamente contenere i criteri di negoziazione AuthIP Extended Mode (EM).
Nota
Verrà negoziato un modulo comune di chiave e verrà applicato il criterio QM corrispondente. AuthIP è il modulo di chiave preferito se sono supportati sia IKE che AuthIP.
Per ognuno dei contesti aggiunti al passaggio 1, aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore Condizioni di filtro Vuoto. Tutto il traffico corrisponderà al filtro. providerContextKey GUID del contesto del provider di QM aggiunto nel passaggio 1. Aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Esentare il traffico ICMP da IPsec aggiungendo un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEcondizione di filtro NlatUnicast FWPM_CONDITION_IP_PROTOCOL condizione di filtro IPPROTO_ICMP{V6}Queste costanti sono definite in winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aggiungere un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Esentare il traffico ICMP da IPsec aggiungendo un filtro con le proprietà seguenti.
Proprietà Filter Valore FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condizione di filtro NlatUnicast FWPM_CONDITION_IP_PROTOCOL condizione di filtro IPPROTO_ICMP{V6}Queste costanti sono definite in winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
In FWPM_LAYER_IKEEXT_V{4|6} configurare i criteri di negoziazione MM
In FWPM_LAYER_IPSEC_V{4|6} configurare criteri di negoziazione QM e EM
In FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurare le regole di filtro in ingresso per pacchetto
In FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurare le regole di filtro in uscita per pacchetto