원격 ID 권한 부여
원격 ID 권한 부여 IPsec 정책 시나리오에서는 인바운드 연결이 Windows SD(보안 설명자) ACL(액세스 제어 목록)에 지정된 특정 원격 보안 주체 집합에서 연결되어야 합니다. IPsec에 의해 결정된 원격 ID가 허용된 ID 집합과 일치하지 않으면 연결이 삭제됩니다. 이 정책은 전송 모드 정책 옵션 중 하나와 함께 지정해야 합니다.
AuthIP를 사용하는 경우 두 개의 보안 설명자를 지정할 수 있습니다. 하나는 AuthIP 주 모드에 해당하고 다른 하나는 AuthIP 확장 모드에 해당합니다.
가능한 협상 검색 전송 모드 시나리오의 예로는 "IPsec 전송 모드를 사용하여 ICMP를 제외한 모든 유니캐스트 데이터 트래픽을 보호하고, 협상 검색을 사용하도록 설정하고, 보안 설명자 SD1(IKE/AuthIP 기본 모드에 해당) 및 TCP 로컬 포트 5555에 해당하는 모든 유니캐스트 트래픽에 대해 보안 설명자 SD2(AuthIP 확장 모드에 해당)에 따라 허용되는 원격 ID에 대한 인바운드 액세스를 제한합니다."
이 예제를 프로그래밍 방식으로 구현하려면 다음 WFP 구성을 사용합니다.
다음 MM 정책 공급자 컨텍스트 중 하나 또는 둘 다를 추가합니다.
- IKE의 경우 형식의 정책 공급자 컨텍스트는 FWPM_IPSEC_IKE_MM_CONTEXT.
- AuthIP의 경우 FWPM_IPSEC_AUTHIP_MM_CONTEXT형식의 정책 공급자 컨텍스트입니다.
메모
공통 키 지정 모듈이 협상되고 해당 MM 정책이 적용됩니다. IKE와 AuthIP가 모두 지원되는 경우 AuthIP는 기본 키 지정 모듈입니다.
1단계에서 추가된 각 컨텍스트에 대해 다음 속성을 사용하여 필터를 추가합니다.
Filter 속성 값 필터링 조건 비우다. 모든 트래픽이 필터와 일치합니다. providerContextKey 1단계에서 추가된 MM 공급자 컨텍스트의 GUID입니다. 다음 QM 전송 모드 정책 공급자 컨텍스트 중 하나 또는 둘 다를 추가하고 IPSEC_POLICY_FLAG_ND_SECURE 플래그를 설정합니다.
- IKE의 경우 형식의 정책 공급자 컨텍스트는 FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- AuthIP의 경우 EM(AuthIP 확장 모드) 협상 정책을 포함하는 FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT 형식의 정책 공급자 컨텍스트입니다.
메모
공통 키 지정 모듈이 협상되고 해당 QM 정책이 적용됩니다. IKE와 AuthIP가 모두 지원되는 경우 AuthIP는 기본 키 지정 모듈입니다.
1단계에서 추가된 각 컨텍스트에 대해 다음 속성을 사용하여 필터를 추가합니다.
Filter 속성 값 필터링 조건 비우다. 모든 트래픽이 필터와 일치합니다. providerContextKey 1단계에서 추가된 QM 공급자 컨텍스트의 GUID입니다. 다음 속성을 사용하여 필터를 추가합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY 다음 속성을 사용하여 필터를 추가하여 IPsec에서 ICMP 트래픽을 제외합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 필터링 조건 **IPPROTO_ICMP{V6}**이러한 상수는 winsock2.h에 정의되어 있습니다. action.type FWP_ACTION_PERMIT 가중치 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 다음 속성을 사용하여 필터를 추가합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER 다음 속성을 사용하여 필터를 추가하여 IPsec에서 ICMP 트래픽을 제외합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 필터링 조건 IPPROTO_ICMP{V6}이러한 상수는 winsock2.h에 정의되어 있습니다. action.type FWP_ACTION_PERMIT 가중치 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 다음 속성을 사용하여 필터를 추가합니다. 이 필터는 IPsec에 의해 보호되는 경우에만 인바운드 연결 시도를 허용합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 다음 속성을 사용하여 필터를 추가하여 IPsec에서 ICMP 트래픽을 제외합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 필터링 조건 **IPPROTO_ICMP{V6}**이러한 상수는 winsock2.h에 정의되어 있습니다. action.type FWP_ACTION_PERMIT 가중치 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 다음 속성을 사용하여 필터를 추가합니다. 이 필터는 해당 원격 ID가 SD1과 SD2 모두에서 허용되는 경우 TCP 포트 5555에 대한 인바운드 연결을 허용합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 필터링 조건 IPPROTO_TCP이 상수는 winsock2.h에 정의됩니다. FWPM_CONDITION_IP_LOCAL_PORT 필터링 조건 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 다음 속성을 사용하여 필터를 추가합니다. 이 필터는 이전 필터와 일치하지 않는 TCP 포트 5555에 대한 다른 인바운드 연결을 차단합니다.
Filter 속성 값 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 필터링 조건 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 필터링 조건 IPPROTO_TCP이 상수는 winsock2.h에 정의됩니다. FWPM_CONDITION_IP_LOCAL_PORT 필터링 조건 5555 action.type FWP_ACTION_BLOCK
FWPM_LAYER_IKEEXT_V{4|6} 설치 MM 협상 정책
FWPM_LAYER_IPSEC_V{4|6} 설정 QM 및 EM 협상 정책
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 설정 패킷당 인바운드 필터링 규칙
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}에서 패킷당 아웃바운드 필터링 규칙 설정
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 설정 인바운드 연결별 필터링 규칙
관련 항목
-
샘플 코드: 전송 모드 사용