Udostępnij za pośrednictwem


Tryb transportu odnajdywania negocjacji w trybie granicy

Tryb transportu odnajdywania negocjacji w scenariuszu zasad protokołu IPsec trybu granic żąda ochrony trybu transportu IPsec dla całego pasującego ruchu. Jeśli negocjowanie protokołu IKE/AuthIP zakończy się niepowodzeniem, połączenia przychodzące i wychodzące mogą prowadzić do powrotu do wyczyszczenia tekstu .

Te zasady protokołu IPsec są zwykle używane na maszynach, które są dostępne zarówno przez maszyny obsługujące protokół IPsec, jak i maszyny obsługujące protokół IPsec.

Przykładem potencjalnego scenariusza trybu transportu odnajdywania negocjacji jest "Zabezpieczanie całego ruchu danych emisji pojedynczej, z wyjątkiem protokołu ICMP, przy użyciu trybu transportu IPsec i włączanie odnajdywania negocjacji w trybie granic".

Aby zaimplementować ten przykład programowo, użyj następującej konfiguracji programu WFP.

W FWPM_LAYER_IKEEXT_V{4|6} skonfiguruj zasady negocjacji mm

  1. Dodaj jeden lub oba następujące konteksty dostawcy zasad MM.

    • W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_MM_CONTEXT.
    • W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.

    Nuta

    Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady mm zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.

  2. Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem.
    dostawcy ContextKey Identyfikator GUID kontekstu dostawcy MM dodany w kroku 1.

W FWPM_LAYER_IPSEC_V{4|6} skonfiguruj zasady negocjacji QM i EM

  1. Dodaj jeden lub oba z następujących kontekstów dostawcy zasad trybu transportu QM i ustaw flagę IPSEC_POLICY_FLAG_ND_BOUNDARY.

    • W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
    • W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Ten kontekst może opcjonalnie zawierać zasady negocjacji trybu rozszerzonego (EM) AuthIP.

    Nuta

    Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady QM zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.

  2. Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem.
    dostawcy ContextKey Identyfikator GUID kontekstu dostawcy QM dodany w kroku 1.

W FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania dla ruchu przychodzącego dla pakietów

  1. Dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY
  2. Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h.
    action.type FWP_ACTION_PERMIT
    waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

W FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania ruchu wychodzącego dla pakietów

  1. Dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER
  2. Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h.
    action.type FWP_ACTION_PERMIT
    waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

Nuta

W przeciwieństwie do trybu transportu odnajdywania negocjacji w przypadku zasad Tryb transportu odnajdywania negocjacji w trybie granic nie ma potrzeby dodawania filtru w FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} warstwy, ponieważ te zasady zezwalają na przychodzące niechronione połączenia w postaci zwykłego tekstu.

przykładowy kod: korzystanie z trybu transportu

warstw ALE

wbudowanych identyfikatorów objaśnień

warunki filtrowania

identyfikatory warstwy filtrowania

FWPM_ACTION0

FWPM_PROVIDER_CONTEXT_TYPE