다음을 통해 공유

수동 SA

  • 아티클

SA(수동 보안 연결) IPsec 정책 시나리오를 사용하면 호출자가 네트워크 트래픽을 보호하기 위해 IPsec SA를 직접 지정하여 기본 제공 IPsec 키 지정 모듈(IKE 및 AuthIP)을 우회할 수 있습니다.

가능한 수동 SA 시나리오의 예로는 "IPsec 전송 모드를 사용하여 ICMP를 제외한 IP 주소 1.1.1.1 & 2.2.2.2 사이의 모든 유니캐스트 데이터 트래픽을 보호하기 위해 IPsec SA 쌍을 추가합니다."

메모

다음 단계는 IP 주소가 적절하게 설정된 두 컴퓨터에서 실행해야 합니다.

이 예제를 프로그래밍 방식으로 구현하려면 다음 WFP 구성을 사용합니다.

FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 설정 패킷당 인바운드 필터링 규칙

  1. 다음 속성을 사용하여 필터를 추가합니다.

    Filter 속성
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast
    FWPM_CONDITION_IP_LOCAL_ADDRESS 적절한 로컬 주소(1.1.1.1 또는 2.2.2.2)입니다.
    FWPM_CONDITION_IP_REMOTE_ADDRESS 적절한 원격 주소(1.1.1.1 또는 2.2.2.2)입니다.
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6}

  2. 다음 속성을 사용하여 필터를 추가하여 IPsec에서 ICMP 트래픽을 제외합니다.

    Filter 속성
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL 필터링 조건 **IPPROTO_ICMP{V6}**이러한 상수는 winsock2.h에 정의되어 있습니다.
    action.type FWP_ACTION_PERMIT
    가중치 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}에서 패킷당 아웃바운드 필터링 규칙 설정

  1. 다음 속성을 사용하여 필터를 추가합니다.

    Filter 속성
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast
    FWPM_CONDITION_IP_LOCAL_ADDRESS 필터링 조건 적절한 로컬 주소(1.1.1.1 또는 2.2.2.2)입니다.
    FWPM_CONDITION_IP_REMOTE_ADDRESS 필터링 조건 적절한 원격 주소(1.1.1.1 또는 2.2.2.2)입니다.
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6}

  2. 다음 속성을 사용하여 필터를 추가하여 IPsec에서 ICMP 트래픽을 제외합니다.

    Filter 속성
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL 필터링 조건 **IPPROTO_ICMP{V6}**이러한 상수는 winsock2.h에 정의되어 있습니다.
    action.type FWP_ACTION_PERMIT
    가중치 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

인바운드 및 아웃바운드 보안 연결 설정

  1. ip 주소를 1.1.1.1 & 2.2.2로 포함하고 ipsecFilterId 아웃바운드 전송 계층 IPsec 설명선 필터의 LUID로 포함하는 아웃바운드 아웃바운드 매개 변수를 사용하여 IPsecSaContextCreate0호출합니다.
  2. IPsecSaContextCreate0반환된 컨텍스트 ID를 포함하는 id 매개 변수 및 IP 주소를 1.1.1.1 & 2.2.2.2로 포함하는 getSpi 매개 변수를 포함하는 IPsecSaContextGetSpi0호출합니다. 및 ipsecFilterId는 위에 추가된 인바운드 전송 계층 IPsec 설명선 필터의 LUID로. 반환된 SPI 값은 로컬 컴퓨터에서 인바운드 SA SPI로, 해당 원격 컴퓨터에서 아웃바운드 SA SPI로 사용됩니다. 두 컴퓨터 모두 SPI 값을 교환하기 위해 일부 대역 외 수단을 사용해야 합니다.
  3. IPsecSaContextCreate0반환된 컨텍스트 ID를 포함하는 id 매개 변수와 인바운드 SA 번들(예: 인바운드 SA SPI, 변환 형식, 알고리즘 형식, 키 등)의 속성을 설명하는 인바운드Bundle 매개 변수를 사용하여 IPsecSaContextAddInbound0호출합니다.
  4. IPsecSaContextCreate0반환된 컨텍스트 ID를 포함하는 ID 매개 변수 및 아웃바운드 SA 번들(예: 아웃바운드 SA SPI, 변환 형식, 알고리즘 형식, 키 등)의 속성을 설명하는 아웃바운드 아웃바운드Bundle 매개 변수를 포함하는 IPsecSaContextAddOutbound0호출합니다.

샘플 코드: 수동 SA 키 지정

기본 제공 설명선 식별자

필터링 계층 식별자

FWPM_ACTION0