mode de transport

Le scénario de stratégie IPsec en mode de transport requiert la protection du mode de transport IPsec pour tout le trafic correspondant. Tout trafic en texte clair correspondant est supprimé jusqu’à ce que la négociation IKE ou AuthIP s’est terminée avec succès. Si la négociation échoue, la connectivité avec l’adresse IP correspondante reste ininterrompue.

Un exemple de scénario de mode de transport possible est « sécuriser tout le trafic de données monodiffusion, sauf ICMP, à l’aide du mode de transport IPsec ».

Pour implémenter cet exemple par programme, utilisez la configuration WFP suivante.

Stratégie de négociation de l’installation de la _ couche FWPM _ IKEEXT _ V {4 | 6}

  1. Ajoutez l’un des contextes de fournisseur de stratégie MM suivants, ou les deux.

    • Pour IKE, contexte d’un fournisseur de stratégie de type FWPM _ IPSec _ IKE _ mm _ Context.
    • Pour AuthIP, contexte du fournisseur de stratégie de type FWPM _ IPSec _ AuthIP _ mm _ Context.

    Notes

    Un module de génération de clés commun sera négocié et la stratégie MM correspondante sera appliquée. AuthIP est le module de génération de clé préféré si IKE et AuthIP sont pris en charge.

  2. Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    Conditions de filtrage Vide. Tout le trafic correspond au filtre.
    providerContextKey GUID du contexte du fournisseur MM ajouté à l’étape 1.

Au niveau de FWPM _ Layer _ IPSec _ V {4 | 6} Setup QM et em Negotiation Policy

  1. Ajoutez l’un des contextes de fournisseur de stratégie de mode de transport QM suivants, ou les deux.

    • Pour IKE, contexte du fournisseur de stratégie de type FWPM le _ _ _ _ _ contexte de transport QM IPsec IKE.
    • Pour AuthIP, contexte du fournisseur de stratégie de type _ FWPM _ IPSec _ AuthIP _ transport _ Context. Ce contexte peut éventuellement contenir la stratégie de négociation en mode étendu AuthIP (EM).

    Notes

    Un module de génération de clés commun sera négocié et la stratégie de QM correspondante sera appliquée. AuthIP est le module de génération de clé préféré si IKE et AuthIP sont pris en charge.

  2. Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    Conditions de filtrage Vide. Tout le trafic correspond au filtre.
    providerContextKey GUID du contexte du fournisseur QM ajouté à l’étape 1.

Au niveau de la _ couche FWPM _ _ transport entrant _ V {4 | 6} configurer les règles de filtrage par paquet entrantes

  1. Ajoutez un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast
    action. type fin de l’appel à l' _ action fwp _ _
    action. calloutKey FWPM _ de _ _ transport entrant IPSec _ _ V {4 | 6}
  2. Exempter le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast
    FWPM _ Condition de filtrage de _ _ protocole IP de condition IPPROTO _ ICMP {V6} ces constantes sont définies dans Winsock2. h.
    action. type _autorisation d’action fwp _
    weight _ _ _ exemptions IKE de la plage de poids FWPM _

Au niveau _ du _ transport sortant de couche FWPM _ _ V {4 | 6} configurer les règles de filtrage par paquet sortantes

  1. Ajoutez un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast
    action. type fin de l’appel à l' _ action fwp _ _
    action. calloutKey FWPM _ de _ _ transport sortant IPSec _ _ V {4 | 6}
  2. Exempter le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.

    Filter (propriété) Valeur
    FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast
    FWPM _ Condition de filtrage de _ _ protocole IP de condition IPPROTO _ ICMP {V6} ces constantes sont définies dans Winsock2. h.
    action. type _autorisation d’action fwp _
    weight _ _ _ exemptions IKE de la plage de poids FWPM _

Exemple de code : utilisation du mode de transport

Filtrage des identificateurs de couche

Types de contexte du fournisseur

Conditions de filtrage

FWPM _ ACTION0

Identificateurs de légende intégrés