Transportmodus der Aushandlungsermittlung im Begrenzungsmodus

Das IPsec-Richtlinienszenario für die Aushandlungsermittlung im Begrenzungsmodus fordert IPsec-Transportmodusschutz für den entsprechenden Datenverkehr an. Wenn die IKE/AuthIP-Aushandlung fehlschlägt, dürfen sowohl eingehende als auch ausgehende Verbindungen ein Fallback auf Klartext verwenden.

Diese IPsec-Richtlinie wird in der Regel auf Computern verwendet, auf die sowohl IPsec-fähige als auch nicht IPsec-fähige Computer zugreifen.

Ein Beispiel für ein mögliches Szenario für den Transportmodus der Aushandlungsermittlung ist "Schützen des ganzen Unicastdatenverkehrs mit Ausnahme von ICMP mithilfe des IPsec-Transportmodus und Aktivieren der Aushandlungsermittlung im Begrenzungsmodus".

Verwenden Sie die folgende WFP-Konfiguration, um dieses Beispiel programmgesteuert zu implementieren.

Richten Sie in FWPM _ LAYER _ IKEEXT _ V{4 | 6} die MM-Aushandlungsrichtlinie ein.

  1. Fügen Sie einen oder beide der folgenden MM-Richtlinienanbieterkontexte hinzu.

    • Bei IKE ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ IKE _ MM _ CONTEXT.
    • Für AuthIP ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ AUTHIP _ MM _ CONTEXT.

    Hinweis

    Ein allgemeines Schlüsselmodul wird ausgehandelt, und die entsprechende MM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.

  2. Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.

    Filter-Eigenschaft Wert
    Filterbedingungen Leer. Der ganze Datenverkehr wird mit dem Filter übereinstimmen.
    providerContextKey GuiD des in Schritt 1 hinzugefügten MM-Anbieterkontexts.

Richten Sie bei FWPM _ LAYER _ IPSEC _ V{4 | 6} die QM- und EM-Aushandlungsrichtlinie ein.

  1. Fügen Sie einen oder beide der folgenden Richtlinienanbieterkontexte für den QM-Transportmodus hinzu, und legen Sie das Flag IPSEC _ POLICY FLAG _ _ ND _ BOUNDARY fest.

    • Bei IKE ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ IKE _ QM TRANSPORT _ _ CONTEXT.
    • Für AuthIP ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ AUTHIP _ QM TRANSPORT _ _ CONTEXT. Dieser Kontext kann optional die Aushandlungsrichtlinie für den erweiterten Authentifizierungsmodus (AuthIP Extended Mode, EM) enthalten.

    Hinweis

    Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende QM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.

  2. Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.

    Filter-Eigenschaft Wert
    Filterbedingungen Leer. Der ganze Datenverkehr wird mit dem Filter übereinstimmen.
    providerContextKey GUID des in Schritt 1 hinzugefügten QM-Anbieterkontexts.

Richten Sie bei FWPM _ LAYER _ INBOUND _ TRANSPORT _ V{4 | 6} Filterregeln für eingehenden Datenverkehr pro Paket ein.

  1. Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.

    Filter-Eigenschaft Wert
    FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast
    action.type FWP _ ACTION CALLOUT TERMINATING (FWP-AKTIONSAUFRUF _ WIRD _ BEENDET)
    action.calloutKey FWPM _ CALLOUT _ IPSEC _ INBOUND _ TRANSPORT _ V{4 | 6}
    rawContext FWPM _ CONTEXT _ IPSEC _ INBOUND _ PERSIST _ CONNECTION _ SECURITY
  2. Entfernen Sie ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.

    Filter-Eigenschaft Wert
    FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast
    FWPM _ BEDINGUNG _ _ IP-PROTOKOLL- Filterbedingung IPPROTO _ ICMP{V6} Diese Konstanten werden in winsock2.h definiert.
    action.type _ _ FWP-AKTIONSGENEHMIGUNG
    weight IKE-AUSNAHMEN _ _ FÜR _ FWPM-GEWICHTUNGSBEREICH _

Richten Sie bei FWPM _ LAYER _ OUTBOUND _ TRANSPORT _ V{4 | 6} Filterregeln für ausgehenden Datenverkehr pro Paket ein.

  1. Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.

    Filter-Eigenschaft Wert
    FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast
    action.type FWP _ ACTION CALLOUT TERMINATING (FWP-AKTIONSAUFRUF _ WIRD _ BEENDET)
    action.calloutKey FWPM _ CALLOUT _ IPSEC _ OUTBOUND _ TRANSPORT _ V{4 | 6}
    rawContext _FWPM-KONTEXT _ IPSEC _ OUTBOUND _ NEGOTIATE _ DISCOVER
  2. Entfernen Sie ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.

    Filter-Eigenschaft Wert
    FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast
    FWPM _ BEDINGUNG _ _ IP-PROTOKOLL- Filterbedingung IPPROTO _ ICMP{V6} Diese Konstanten werden in winsock2.h definiert.
    action.type _ _ FWP-AKTIONSGENEHMIGUNG
    weight IKE-AUSNAHMEN _ _ FÜR _ FWPM-GEWICHTUNGSBEREICH _

Hinweis

Im Gegensatz zum Aushandlungsermittlungs-Transportmodus ist es für den Aushandlungsermittlungs-Transportmodus in der Begrenzungsmodus-Richtlinie nicht notwendig, auf den Ebenen der FWPM _ LAYER _ ALE _ AUTH _ RECV ACCEPT _ _ V{4 | 6} einen Filter hinzuzufügen, da diese Richtlinie eingehende ungeschützte Klartextverbindungen zulässt.

Beispielcode: Verwenden des Transportmodus

ALE-Ebenen

Integrierte Calloutbezeichner

Filterbedingungen

Filtern von Ebenenbezeichnern

FWPM _ ACTION0

KONTEXTTYP DES _ _ FWPM-ANBIETERS _