传输模式
传输模式 IPsec 策略方案需要对所有匹配流量进行 IPsec 传输模式保护。 任何匹配的明文流量将被删除,直到 IKE 或 AuthIP 协商成功完成。 如果协商失败,与相应 IP 地址的连接将保持中断。
可能的传输模式方案的一个示例是“使用 IPsec 传输模式保护除 ICMP 之外的所有单播数据流量”。
若要以编程方式实现此示例,请使用以下 WFP 配置。
添加以下一个或两个 MM 策略提供程序上下文。
- 对于 IKE, FWPM_IPSEC_IKE_MM_CONTEXT类型的策略提供程序上下文。
- 对于 AuthIP,类型 为 FWPM_IPSEC_AUTHIP_MM_CONTEXT 的策略提供程序上下文。
注意
将协商一个通用密钥模块,并应用相应的 MM 策略。 如果同时支持 IKE 和 AuthIP,则 AuthIP 是首选的密钥模块。
对于步骤 1 中添加的每个上下文,请添加具有以下属性的筛选器。
Filter 属性 值 筛选条件 空白。 所有流量都将与筛选器匹配。 providerContextKey 步骤 1 中添加的 MM 提供程序上下文的 GUID。 添加以下一个或两个 QM 传输模式策略提供程序上下文。
- 对于 IKE, FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT类型的策略提供程序上下文。
- 对于 AuthIP,类型为的策略提供程序上下文 FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT。 此上下文可以选择性地包含 AuthIP 扩展模式 (EM) 协商策略。
注意
将协商一个通用密钥模块,并应用相应的 QM 策略。 如果同时支持 IKE 和 AuthIP,则 AuthIP 是首选的密钥模块。
对于步骤 1 中添加的每个上下文,请添加具有以下属性的筛选器。
Filter 属性 值 筛选条件 空白。 所有流量都将与筛选器匹配。 providerContextKey 步骤 1 中添加的 QM 提供程序上下文的 GUID。 添加具有以下属性的筛选器。
Filter 属性 值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} 通过添加具有以下属性的筛选器,从 IPsec 中免除 ICMP 流量。
Filter 属性 值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE筛选条件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 筛选条件 IPPROTO_ICMP{V6}这些常量在 winsock2.h 中定义。 action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 添加具有以下属性的筛选器。
Filter 属性 值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} 通过添加具有以下属性的筛选器,从 IPsec 中免除 ICMP 流量。
Filter 属性 值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 筛选条件 IPPROTO_ICMP{V6}这些常量在 winsock2.h 中定义。 action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
在 FWPM_LAYER_IKEEXT_V{4|6} 设置 MM 协商策略
在 FWPM_LAYER_IPSEC_V{4|6} 设置 QM 和 EM 协商策略
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 设置每个数据包的入站筛选规则
在 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 设置出站每数据包筛选规则