Режим транспорта
Сценарий политики IPsec в режиме транспорта требует защиты режима транспорта IPsec для всего соответствующего трафика. Любой соответствующий текстовый трафик удаляется до успешного завершения согласования IKE или AuthIP. Если согласование завершится сбоем, подключение с соответствующим IP-адресом останется нарушенным.
Примером возможного сценария режима транспорта является "Защита всего одноадресного трафика данных, кроме ICMP, с помощью режима транспорта IPsec".
Чтобы реализовать этот пример программным способом, используйте следующую конфигурацию МПП.
Добавьте один или оба из следующих контекстов поставщика политик MM.
- Для IKE контекст поставщика политик типа FWPM_IPSEC_IKE_MM_CONTEXT.
- Для AuthIP контекст поставщика политик типа FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Заметка
Будет согласован общий модуль ключей, и будет применена соответствующая политика MM. AuthIP — это предпочтительный модуль ключей, если поддерживаются IKE и AuthIP.
Для каждого из контекстов, добавленных на шаге 1, добавьте фильтр со следующими свойствами.
Свойство filter Ценность Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика MM, добавленного на шаге 1. Добавьте один или оба из следующих контекстов поставщика политики режима транспорта QM.
- Для IKE контекст поставщика политик типа FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Для AuthIP контекст поставщика политик типа FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Этот контекст может содержать политику согласования расширенного режима AuthIP (EM).
Заметка
Будет согласован общий модуль ключей, и будет применена соответствующая политика QM. AuthIP — это предпочтительный модуль ключей, если поддерживаются IKE и AuthIP.
Для каждого из контекстов, добавленных на шаге 1, добавьте фильтр со следующими свойствами.
Свойство filter Ценность Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика QM, добавленного на шаге 1. Добавьте фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}Эти константы определены в winsock2.h. action.type FWP_ACTION_PERMIT вес FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Добавьте фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}Эти константы определены в winsock2.h. action.type FWP_ACTION_PERMIT вес FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
FWPM_LAYER_IKEEXT_V{4|6} настройте политику согласования MM
FWPM_LAYER_IPSEC_V{4|6} настройте политику QM и политики ведения переговоров EM
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} настройте правила фильтрации входящих пакетов
в FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} настройте правила фильтрации исходящего трафика на пакеты