mode de transport
Le scénario de stratégie IPsec en mode de transport requiert la protection du mode de transport IPsec pour tout le trafic correspondant. Tout trafic en texte clair correspondant est supprimé jusqu’à ce que la négociation IKE ou AuthIP s’est terminée avec succès. Si la négociation échoue, la connectivité avec l’adresse IP correspondante reste ininterrompue.
Un exemple de scénario de mode de transport possible est « sécuriser tout le trafic de données monodiffusion, sauf ICMP, à l’aide du mode de transport IPsec ».
Pour implémenter cet exemple par programme, utilisez la configuration WFP suivante.
Ajoutez l’un des contextes de fournisseur de stratégie MM suivants, ou les deux.
- Pour IKE, contexte d’un fournisseur de stratégie de type FWPM _ IPSec _ IKE _ mm _ Context.
- Pour AuthIP, contexte du fournisseur de stratégie de type FWPM _ IPSec _ AuthIP _ mm _ Context.
Notes
Un module de génération de clés commun sera négocié et la stratégie MM correspondante sera appliquée. AuthIP est le module de génération de clé préféré si IKE et AuthIP sont pris en charge.
Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.
Filter (propriété) Valeur Conditions de filtrage Vide. Tout le trafic correspond au filtre. providerContextKey GUID du contexte du fournisseur MM ajouté à l’étape 1. Ajoutez l’un des contextes de fournisseur de stratégie de mode de transport QM suivants, ou les deux.
- Pour IKE, contexte du fournisseur de stratégie de type FWPM le _ _ _ _ _ contexte de transport QM IPsec IKE.
- Pour AuthIP, contexte du fournisseur de stratégie de type _ FWPM _ IPSec _ AuthIP _ transport _ Context. Ce contexte peut éventuellement contenir la stratégie de négociation en mode étendu AuthIP (EM).
Notes
Un module de génération de clés commun sera négocié et la stratégie de QM correspondante sera appliquée. AuthIP est le module de génération de clé préféré si IKE et AuthIP sont pris en charge.
Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.
Filter (propriété) Valeur Conditions de filtrage Vide. Tout le trafic correspond au filtre. providerContextKey GUID du contexte du fournisseur QM ajouté à l’étape 1. Ajoutez un filtre avec les propriétés suivantes.
Filter (propriété) Valeur FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast action. type fin de l’appel à l' _ action fwp _ _ action. calloutKey FWPM _ de _ _ transport entrant IPSec _ _ V {4 | 6} Exempter le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.
Filter (propriété) Valeur FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast FWPM _ Condition de filtrage de _ _ protocole IP de condition IPPROTO _ ICMP {V6} ces constantes sont définies dans Winsock2. h. action. type _autorisation d’action fwp _ weight _ _ _ exemptions IKE de la plage de poids FWPM _ Ajoutez un filtre avec les propriétés suivantes.
Filter (propriété) Valeur FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast action. type fin de l’appel à l' _ action fwp _ _ action. calloutKey FWPM _ de _ _ transport sortant IPSec _ _ V {4 | 6} Exempter le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.
Filter (propriété) Valeur FWPM _ Condition de filtrage du _ _ _ _ type d’adresse locale IP de condition NlatUnicast FWPM _ Condition de filtrage de _ _ protocole IP de condition IPPROTO _ ICMP {V6} ces constantes sont définies dans Winsock2. h. action. type _autorisation d’action fwp _ weight _ _ _ exemptions IKE de la plage de poids FWPM _
Stratégie de négociation de l’installation de la _ couche FWPM _ IKEEXT _ V {4 | 6}
Au niveau de FWPM _ Layer _ IPSec _ V {4 | 6} Setup QM et em Negotiation Policy
Au niveau de la _ couche FWPM _ _ transport entrant _ V {4 | 6} configurer les règles de filtrage par paquet entrantes
Au niveau _ du _ transport sortant de couche FWPM _ _ V {4 | 6} configurer les règles de filtrage par paquet sortantes