Modo de transporte
O cenário de política IPsec do modo de transporte requer proteção do modo de transporte IPsec para todo o tráfego correspondente. Qualquer tráfego de texto claro correspondente é descartado até que a negociação IKE ou AuthIP seja concluída com êxito. Se a negociação falhar, a conectividade com o endereço IP correspondente permanecerá interrompida.
Um exemplo de um possível cenário de Modo de Transporte é "Proteger todo o tráfego de dados unicast, exceto ICMP, usando o modo de transporte IPsec".
Para implementar este exemplo programaticamente, use a configuração do WFP a seguir.
Adicione um ou ambos os seguintes contextos de provedor de política MM.
- Para IKE, um contexto de provedor de política do tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para a AuthIP, um contexto de provedor de política do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Observação
Um módulo de chave comum será negociado e a política mm correspondente será aplicada. O AuthIP será o módulo de chave preferencial se houver suporte para IKE e AuthIP.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor MM adicionado na etapa 1. Adicione um ou ambos os seguintes contextos de provedor de política de modo de transporte de QM.
- Para IKE, um contexto de provedor de política do tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para a AuthIP, um contexto de provedor de política do tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Opcionalmente, esse contexto pode conter a política de negociação EM (Modo Estendido) da AuthIP.
Observação
Um módulo de chave comum será negociado e a política de QM correspondente será aplicada. O AuthIP será o módulo de chave preferencial se houver suporte para IKE e AuthIP.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor de QM adicionado na etapa 1. Adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Isenta o tráfego ICMP do IPsec adicionando um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEcondição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_ICMP{V6}Essas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Isenta o tráfego ICMP do IPsec adicionando um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_ICMP{V6}Essas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
Em FWPM_LAYER_IKEEXT_V{4|6} configurar política de negociação mm
Em FWPM_LAYER_IPSEC_V{4|6} configurar política de negociação de QM e EM
Em FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} regras de filtragem de entrada por pacote
Em FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} regras de filtragem de saída por pacote