IPsec 配置

Windows 筛选平台 (WFP) 是高级安全 Windows 防火墙的基础平台。 WFP 用于配置网络筛选规则,其中包括使用 IPsec 控制网络流量安全的规则。 应用程序开发人员可以直接使用 WFP API 配置 IPsec,以便利用比通过 Microsoft 管理控制台公开的模型更精细的网络流量筛选模型 (MMC) 高级安全 Windows 防火墙管理单元。

什么是 IPsec

Internet 协议安全 (IPsec) 是一组安全协议,用于通过 Internet 以机密方式传输 IP 数据包。 IPsec 以前对所有 IPv6 实现 (是必需的,但请参阅 IPv6 节点要求;和 IPv4 的可选选项。

受保护的 IP 流量具有两个可选的 IPsec 标头,用于标识应用于 IP 数据包的加密保护类型,并包含用于解码受保护数据包的信息。

封装安全有效负载 (ESP) 标头用于通过执行身份验证和可选加密来保护隐私和防止恶意修改。 它可用于遍历网络地址转换 (NAT) 路由器的流量。

身份验证标头 (AH) 仅用于通过执行身份验证来防止恶意修改。 它不能用于遍历 NAT 路由器的流量。

有关 IPsec 的详细信息,另请参阅:

IPsec 技术参考

什么是 IKE

Internet 密钥交换 (IKE) 是属于 IPsec 协议集的密钥交换协议。 IKE 在设置安全连接时使用,无需用户干预即可实现密钥和其他保护相关参数的安全交换。

有关 IKE 的详细信息,另请参阅:

Internet 密钥交换

什么是 AuthIP

经过身份验证的 Internet 协议 (AuthIP) 是一种新的密钥交换协议,可按如下所示扩展 IKE。

虽然 IKE 仅支持计算机身份验证凭据,但 AuthIP 还支持:
  • 用户凭据:NTLM、Kerberos、证书。
  • 网络访问保护 (NAP) 运行状况证书。
  • 匿名凭据,用于可选身份验证。
  • 凭据组合;例如,计算机和用户 Kerberos 凭据的组合。

AuthIP 具有身份验证重试机制,用于在连接失败之前验证所有配置的身份验证方法。
AuthIP 可以与安全套接字一起使用,以实现基于应用程序的 IPsec 安全流量。 提供以下功能:

  • 按套接字身份验证和加密。 有关详细信息,请参阅 WSASetSocketSecurity
  • 客户端模拟。 (IPsec 模拟在其中创建套接字的安全上下文。)
  • 入站和出站对等名称验证。 有关详细信息,请参阅 WSASetSocketPeerTargetName

有关 AuthIP 的详细信息,另请参阅:

Windows Vista 中的 AuthIP

什么是 IPsec 策略

IPsec 策略是一组规则,用于确定需要使用 IPsec 保护哪种类型的 IP 流量以及如何保护该流量。 计算机上一次只有一个 IPsec 策略处于活动状态。

若要详细了解如何实现 IPsec 策略,请打开本地安全策略 MMC 管理单元 (secpol.msc) ,按 F1 显示帮助,然后从目录中选择“创建和使用 IPsec 策略”。

有关 IPsec 策略的详细信息,另请参阅:

IPsec 策略概念概述
IPsec 策略的说明

如何使用 WFP 配置 IPsec 策略

IPsec 的 Microsoft 实现使用 Windows 筛选平台来设置 IPsec 策略。 IPsec 策略是通过在各个 WFP 层添加筛选器来实现的,如下所示。

  • 在 FWPM_LAYER_IKEEXT_V{4|6} 层添加筛选器,这些筛选器指定密钥模块 (IKE/AuthIP) 在主模式 (MM) 交换期间使用的协商策略。 身份验证方法和加密算法在这些层中指定。

  • 在 FWPM_LAYER_IPSEC_V{4|6} 层添加筛选器,这些筛选器指定密钥模块在快速模式 (QM) 和扩展模式 (EM) 交换期间使用的协商策略。 在这些层中指定 (AH/ESP) 和加密算法的 IPsec 标头。

    协商策略指定为与筛选器关联的策略提供程序上下文。 密钥模块根据流量特征枚举策略提供程序上下文,并获取用于安全协商的策略。

    注意

    WFP API 可用于直接) 指定安全关联 (SA,从而忽略密钥模块协商策略。

     

  • 在FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 和FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 层添加筛选器,以调用标注并确定应保护哪些流量流。

  • 在FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 层添加实现标识筛选和按应用程序策略的筛选器。

下图演示了各个 WFP 组件在 IPsec 操作方面的交互。使用 Windows 筛选平台的 ipsec 配置

配置 IPsec 后,它将与 WFP 集成,并通过提供在应用程序层强制 (ALE) 授权层中用作筛选条件的信息来扩展 WFP 筛选功能。 例如,IPsec 提供远程用户和远程计算机标识,WFP 在 ALE 连接和接受授权层公开这些标识。 此信息可用于通过基于 WFP 的防火墙实现进行精细的远程标识授权。

下面是可以使用 IPsec 实现的示例隔离策略:

  • FWPM_LAYER_IKEEXT_V{4|6} 层 – Kerberos 身份验证。
  • FWPM_LAYER_IPSEC_V{4|6} 层 – AH/SHA-1。
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 层和FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 层 - 所有网络流量的协商发现。
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 层 - 所有网络流量都需要 IPsec。

WFP 层

筛选层标识符

ALE 层

使用 WFP API 实现的 IPsec 策略方案:

传输模式

协商发现传输模式

边界模式下的协商发现传输模式

隧道模式

有保证的加密

远程标识授权

手动 IPsec SA

IKE/AuthIP 豁免

IPsec 解决方案:

服务器和域隔离