传输模式
传输模式 IPsec 策略方案需要所有匹配流量的 IPsec 传输模式保护。 在 IKE 或 AuthIP 协商成功完成之前,将删除任何匹配的明文流量。 如果协商失败,则与相应 IP 地址的连接将保持中断。
可能的传输模式方案的示例是“使用 IPsec 传输模式保护除 ICMP 以外的所有单播数据流量”。
若要以编程方式实现此示例,请使用以下 WFP 配置。
添加以下一个或两个 MM 策略提供程序上下文。
- 对于 IKE,类型为 FWPM_IPSEC_IKE_MM_CONTEXT的策略提供程序上下文。
- 对于 AuthIP,类型为 FWPM_IPSEC_AUTHIP_MM_CONTEXT的策略提供程序上下文。
注意
将协商通用密钥模块,并应用相应的 MM 策略。 如果支持 IKE 和 AuthIP,则 AuthIP 是首选密钥模块。
对于步骤 1 中添加的每个上下文,添加具有以下属性的筛选器。
Filter 属性 价值 筛选条件 空。 所有流量都将与筛选器匹配。 providerContextKey 步骤 1 中添加的 MM 提供程序上下文的 GUID。 添加以下 QM 传输模式策略提供程序上下文中的一个或两个。
- 对于 IKE,类型为 FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT的策略提供程序上下文。
- 对于 AuthIP,类型为 FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT的策略提供程序上下文。 此上下文可以选择包含 AuthIP 扩展模式 (EM) 协商策略。
注意
将协商通用密钥模块,并应用相应的 QM 策略。 如果支持 IKE 和 AuthIP,则 AuthIP 是首选密钥模块。
对于步骤 1 中添加的每个上下文,添加具有以下属性的筛选器。
Filter 属性 价值 筛选条件 空。 所有流量都将与筛选器匹配。 providerContextKey 步骤 1 中添加的 QM 提供程序上下文的 GUID。 添加具有以下属性的筛选器。
Filter 属性 价值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} 通过添加具有以下属性的筛选器来免除 IPsec 的 ICMP 流量。
Filter 属性 价值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE筛选条件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 筛选条件 IPPROTO_ICMP{V6}这些常量在 winsock2.h 中定义。 action.type FWP_ACTION_PERMIT 权重 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 添加具有以下属性的筛选器。
Filter 属性 价值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} 通过添加具有以下属性的筛选器来免除 IPsec 的 ICMP 流量。
Filter 属性 价值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 筛选条件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 筛选条件 IPPROTO_ICMP{V6}这些常量在 winsock2.h 中定义。 action.type FWP_ACTION_PERMIT 权重 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
FWPM_LAYER_IKEEXT_V{4|6} 设置 MM 协商策略
at FWPM_LAYER_IPSEC_V{4|6} 设置 QM 和 EM 协商策略
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 设置入站每数据包筛选规则
at FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 设置出站每数据包筛选规则