遠端身分識別授權
遠端身分識別授權 IPsec 原則案例要求輸入連線來自 Windows 安全性描述元 (SD) 訪問控制清單 (ACL) 中指定的一組特定遠端安全性主體。 如果遠端身分識別(由 IPsec 決定)不符合允許的身分識別集,將會卸除連線。 此原則必須與其中一個傳輸模式原則選項搭配指定。
如果已啟用 AuthIP,可以指定兩個安全性描述元、一個對應至 AuthIP 主要模式,另一個對應至 AuthIP 擴充模式。
可能的交涉探索傳輸模式案例範例是「保護所有單播數據流量,但ICMP除外,使用IPsec傳輸模式、啟用交涉探索,並限制根據安全性描述元 SD1 允許的遠端身分識別的輸入存取權(對應至 IKE/AuthIP 主要模式)和安全性描述符 SD2(對應至 AuthIP 擴充模式),以及對應至 TCP 本機埠 5555 的所有單播流量。
若要以程式設計方式實作此範例,請使用下列 WFP 設定。
新增下列其中一個或兩個MM原則提供者內容。
- 針對 IKE,類型為 FWPM_IPSEC_IKE_MM_CONTEXT的原則提供者內容。
- 針對 AuthIP,類型為 的原則提供者內容 FWPM_IPSEC_AUTHIP_MM_CONTEXT。
注意
將會交涉通用索引鍵模組,並套用對應的 MM 原則。 如果支援 IKE 和 AuthIP,則 AuthIP 是慣用的密鑰模組。
針對步驟 1 中新增的每個內容,新增具有下列屬性的篩選。
Filter 屬性 價值 篩選條件 空。 所有流量都會符合篩選條件。 providerContextKey 步驟 1 中新增之 MM 提供者內容的 GUID。 新增下列一個或兩個 QM 傳輸模式原則提供者內容,並設定 IPSEC_POLICY_FLAG_ND_SECURE 旗標。
- 針對 IKE,類型為 FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT的原則提供者內容。
- 針對 AuthIP,類型為 FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT 的原則提供者內容,其中包含 AuthIP 擴充模式 (EM) 交涉原則。
注意
將會交涉通用金鑰模組,並套用對應的 QM 原則。 如果支援 IKE 和 AuthIP,則 AuthIP 是慣用的密鑰模組。
針對步驟 1 中新增的每個內容,新增具有下列屬性的篩選。
Filter 屬性 價值 篩選條件 空。 所有流量都會符合篩選條件。 providerContextKey 步驟 1 中新增之 QM 提供者內容的 GUID。 新增具有下列屬性的篩選。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY 新增具有下列屬性的篩選條件,以豁免 IPsec 的 ICMP 流量。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 篩選條件 **IPPROTO_ICMP{V6}**這些常數定義於 winsock2.h 中。 action.type FWP_ACTION_PERMIT 權數 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 新增具有下列屬性的篩選。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER 新增具有下列屬性的篩選條件,以豁免 IPsec 的 ICMP 流量。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 篩選條件 IPPROTO_ICMP{V6}這些常數定義於 winsock2.h 中。 action.type FWP_ACTION_PERMIT 權數 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 新增具有下列屬性的篩選。 如果輸入連線嘗試受到 IPsec 保護,此篩選只會允許輸入連線嘗試。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 新增具有下列屬性的篩選條件,以豁免 IPsec 的 ICMP 流量。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 篩選條件 **IPPROTO_ICMP{V6}**這些常數定義於 winsock2.h 中。 action.type FWP_ACTION_PERMIT 權數 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 新增具有下列屬性的篩選。 如果 SD1 和 SD2 允許對應的遠端身分識別,此篩選器會允許 TCP 連接埠 5555 的輸入連線。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 篩選條件 IPPROTO_TCPwinsock2.h 中定義了這個常數。 FWPM_CONDITION_IP_LOCAL_PORT 篩選條件 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 新增具有下列屬性的篩選。 此篩選器會封鎖任何其他不符合上一個篩選條件之 TCP 連接埠 5555 的輸入連線。
Filter 屬性 價值 FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE 篩選條件 NlatUnicast FWPM_CONDITION_IP_PROTOCOL 篩選條件 IPPROTO_TCPwinsock2.h 中定義了這個常數。 FWPM_CONDITION_IP_LOCAL_PORT 篩選條件 5555 action.type FWP_ACTION_BLOCK
FWPM_LAYER_IKEEXT_V{4|6} 設定 MM 交涉原則
FWPM_LAYER_IPSEC_V{4|6} 設定 QM 和 EM 交涉原則
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 設定每個封包篩選規則的輸入
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 設定每個封包篩選規則的輸出
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 設定每個連線的輸入篩選規則