Tryb transportu odnajdywania negocjacji w trybie granicy
Tryb transportu odnajdywania negocjacji w scenariuszu zasad protokołu IPsec trybu granic żąda ochrony trybu transportu IPsec dla całego pasującego ruchu. Jeśli negocjowanie protokołu IKE/AuthIP zakończy się niepowodzeniem, połączenia przychodzące i wychodzące mogą prowadzić do powrotu do wyczyszczenia tekstu .
Te zasady protokołu IPsec są zwykle używane na maszynach, które są dostępne zarówno przez maszyny obsługujące protokół IPsec, jak i maszyny obsługujące protokół IPsec.
Przykładem potencjalnego scenariusza trybu transportu odnajdywania negocjacji jest "Zabezpieczanie całego ruchu danych emisji pojedynczej, z wyjątkiem protokołu ICMP, przy użyciu trybu transportu IPsec i włączanie odnajdywania negocjacji w trybie granic".
Aby zaimplementować ten przykład programowo, użyj następującej konfiguracji programu WFP.
Dodaj jeden lub oba następujące konteksty dostawcy zasad MM.
- W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_MM_CONTEXT.
- W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nuta
Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady mm zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.
Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem. dostawcy ContextKey Identyfikator GUID kontekstu dostawcy MM dodany w kroku 1. Dodaj jeden lub oba z następujących kontekstów dostawcy zasad trybu transportu QM i ustaw flagę IPSEC_POLICY_FLAG_ND_BOUNDARY.
- W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Ten kontekst może opcjonalnie zawierać zasady negocjacji trybu rozszerzonego (EM) AuthIP.
Nuta
Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady QM zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.
Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem. dostawcy ContextKey Identyfikator GUID kontekstu dostawcy QM dodany w kroku 1. Dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h. action.type FWP_ACTION_PERMIT waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h. action.type FWP_ACTION_PERMIT waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
W FWPM_LAYER_IKEEXT_V{4|6} skonfiguruj zasady negocjacji mm
W FWPM_LAYER_IPSEC_V{4|6} skonfiguruj zasady negocjacji QM i EM
W FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania dla ruchu przychodzącego dla pakietów
W FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania ruchu wychodzącego dla pakietów
Nuta
W przeciwieństwie do trybu transportu odnajdywania negocjacji w przypadku zasad Tryb transportu odnajdywania negocjacji w trybie granic nie ma potrzeby dodawania filtru w FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} warstwy, ponieważ te zasady zezwalają na przychodzące niechronione połączenia w postaci zwykłego tekstu.