Transportmodus der Aushandlungsermittlung im Begrenzungsmodus
Das IPsec-Richtlinienszenario für die Aushandlungsermittlung im Begrenzungsmodus fordert IPsec-Transportmodusschutz für den entsprechenden Datenverkehr an. Wenn die IKE/AuthIP-Aushandlung fehlschlägt, dürfen sowohl eingehende als auch ausgehende Verbindungen ein Fallback auf Klartext verwenden.
Diese IPsec-Richtlinie wird in der Regel auf Computern verwendet, auf die sowohl IPsec-fähige als auch nicht IPsec-fähige Computer zugreifen.
Ein Beispiel für ein mögliches Szenario für den Transportmodus der Aushandlungsermittlung ist "Schützen des ganzen Unicastdatenverkehrs mit Ausnahme von ICMP mithilfe des IPsec-Transportmodus und Aktivieren der Aushandlungsermittlung im Begrenzungsmodus".
Verwenden Sie die folgende WFP-Konfiguration, um dieses Beispiel programmgesteuert zu implementieren.
Fügen Sie einen oder beide der folgenden MM-Richtlinienanbieterkontexte hinzu.
- Bei IKE ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ IKE _ MM _ CONTEXT.
- Für AuthIP ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ AUTHIP _ MM _ CONTEXT.
Hinweis
Ein allgemeines Schlüsselmodul wird ausgehandelt, und die entsprechende MM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der ganze Datenverkehr wird mit dem Filter übereinstimmen. providerContextKey GuiD des in Schritt 1 hinzugefügten MM-Anbieterkontexts. Fügen Sie einen oder beide der folgenden Richtlinienanbieterkontexte für den QM-Transportmodus hinzu, und legen Sie das Flag IPSEC _ POLICY FLAG _ _ ND _ BOUNDARY fest.
- Bei IKE ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ IKE _ QM TRANSPORT _ _ CONTEXT.
- Für AuthIP ein Richtlinienanbieterkontext vom Typ FWPM _ IPSEC _ AUTHIP _ QM TRANSPORT _ _ CONTEXT. Dieser Kontext kann optional die Aushandlungsrichtlinie für den erweiterten Authentifizierungsmodus (AuthIP Extended Mode, EM) enthalten.
Hinweis
Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende QM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der ganze Datenverkehr wird mit dem Filter übereinstimmen. providerContextKey GUID des in Schritt 1 hinzugefügten QM-Anbieterkontexts. Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast action.type FWP _ ACTION CALLOUT TERMINATING (FWP-AKTIONSAUFRUF _ WIRD _ BEENDET) action.calloutKey FWPM _ CALLOUT _ IPSEC _ INBOUND _ TRANSPORT _ V{4 | 6} rawContext FWPM _ CONTEXT _ IPSEC _ INBOUND _ PERSIST _ CONNECTION _ SECURITY Entfernen Sie ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast FWPM _ BEDINGUNG _ _ IP-PROTOKOLL- Filterbedingung IPPROTO _ ICMP{V6} Diese Konstanten werden in winsock2.h definiert. action.type _ _ FWP-AKTIONSGENEHMIGUNG weight IKE-AUSNAHMEN _ _ FÜR _ FWPM-GEWICHTUNGSBEREICH _ Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast action.type FWP _ ACTION CALLOUT TERMINATING (FWP-AKTIONSAUFRUF _ WIRD _ BEENDET) action.calloutKey FWPM _ CALLOUT _ IPSEC _ OUTBOUND _ TRANSPORT _ V{4 | 6} rawContext _FWPM-KONTEXT _ IPSEC _ OUTBOUND _ NEGOTIATE _ DISCOVER Entfernen Sie ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM _ BEDINGUNG: _ _ FILTERbedingung "IP _ LOCAL ADDRESS _ TYPE" NlatUnicast FWPM _ BEDINGUNG _ _ IP-PROTOKOLL- Filterbedingung IPPROTO _ ICMP{V6} Diese Konstanten werden in winsock2.h definiert. action.type _ _ FWP-AKTIONSGENEHMIGUNG weight IKE-AUSNAHMEN _ _ FÜR _ FWPM-GEWICHTUNGSBEREICH _
Richten Sie in FWPM _ LAYER _ IKEEXT _ V{4 | 6} die MM-Aushandlungsrichtlinie ein.
Richten Sie bei FWPM _ LAYER _ IPSEC _ V{4 | 6} die QM- und EM-Aushandlungsrichtlinie ein.
Richten Sie bei FWPM _ LAYER _ INBOUND _ TRANSPORT _ V{4 | 6} Filterregeln für eingehenden Datenverkehr pro Paket ein.
Richten Sie bei FWPM _ LAYER _ OUTBOUND _ TRANSPORT _ V{4 | 6} Filterregeln für ausgehenden Datenverkehr pro Paket ein.
Hinweis
Im Gegensatz zum Aushandlungsermittlungs-Transportmodus ist es für den Aushandlungsermittlungs-Transportmodus in der Begrenzungsmodus-Richtlinie nicht notwendig, auf den Ebenen der FWPM _ LAYER _ ALE _ AUTH _ RECV ACCEPT _ _ V{4 | 6} einen Filter hinzuzufügen, da diese Richtlinie eingehende ungeschützte Klartextverbindungen zulässt.