Транспортный режим обнаружения согласований в пограничном режиме
Сценарий политики IPsec обнаружения согласований в режиме границы запрашивает защиту режима транспорта IPsec для всего соответствующего трафика. Если согласование IKE/AuthIP завершается сбоем, входящие и исходящие подключения могут откатиться к прозрачному тексту.
Эта политика IPsec обычно используется на компьютерах, к которым осуществляется доступ как с поддержкой IPsec, так и с компьютерами, не поддерживающими IPsec.
Примером потенциального сценария в транспортном режиме обнаружения согласований является "Защита всего одноадресного трафика данных, за исключением ICMP, с помощью транспортного режима IPsec и включение обнаружения согласований в пограничном режиме".
Чтобы реализовать этот пример программным способом, используйте следующую конфигурацию МПП.
Добавьте один или оба из следующих контекстов поставщика политик MM.
- Для IKE контекст поставщика политик типа FWPM_IPSEC_IKE_MM_CONTEXT.
- Для AuthIP контекст поставщика политики типа FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Примечание
Будет согласован общий модуль ключей, и будет применена соответствующая политика MM. AuthIP является предпочтительным модулем ключей, если поддерживаются как IKE, так и AuthIP.
Для каждого контекста, добавленного на шаге 1, добавьте фильтр со следующими свойствами.
Свойство Filter Значение Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика MM, добавленного на шаге 1. Добавьте один или оба из следующих контекстов поставщика политики транспортного режима QM и установите флаг IPSEC_POLICY_FLAG_ND_BOUNDARY .
- Для IKE контекст поставщика политики типа FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Для AuthIP — контекст поставщика политики типа FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. При необходимости этот контекст может содержать политику согласования расширенного режима AuthIP (EM).
Примечание
Будет согласован общий модуль ключей, и будет применена соответствующая политика QM. AuthIP является предпочтительным модулем ключей, если поддерживаются как IKE, так и AuthIP.
Для каждого контекста, добавленного на шаге 1, добавьте фильтр со следующими свойствами.
Свойство Filter Значение Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика QM, добавленного на шаге 1. Добавьте фильтр со следующими свойствами.
Свойство Filter Значение FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE условие фильтрации NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство Filter Значение FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE условие фильтрации NlatUnicast FWPM_CONDITION_IP_PROTOCOL условие фильтрации **IPPROTO_ICMP{V6}**Эти константы определены в winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Добавьте фильтр со следующими свойствами.
Свойство Filter Значение FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE условие фильтрации NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство Filter Значение FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE условие фильтрации NlatUnicast FWPM_CONDITION_IP_PROTOCOL условие фильтрации **IPPROTO_ICMP{V6}**Эти константы определены в winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
На FWPM_LAYER_IKEEXT_V{4|6} настройте политику согласования mm
На FWPM_LAYER_IPSEC_V{4|6} настройте политику согласования QM и EM
На FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} настройте правила фильтрации для каждого пакета
На FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} настройте правила фильтрации исходящего трафика по пакету
Примечание
В отличие от режима обнаружения переговоров, для режима транспорта обнаружения согласований в политике пограничного режима нет необходимости добавлять фильтр на FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V уровнях {4|6} , так как эта политика разрешает входящие незащищенные соединения с прозрачным текстом.