Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Für das IPsec-Richtlinienszenario für den Transportmodus ist IPsec-Transportmodusschutz für den gesamten übereinstimmenden Datenverkehr erforderlich. Alle übereinstimmenden Klartextdatenverkehr werden gelöscht, bis die IKE- oder AuthIP-Aushandlung erfolgreich abgeschlossen wurde. Wenn die Aushandlung fehlschlägt, bleibt die Verbindung mit der entsprechenden IP-Adresse unterbrochen.
Ein Beispiel für ein mögliches Transportmodusszenario ist "Sichern des gesamten Unicastdatenverkehrs, mit Ausnahme von ICMP, mithilfe des IPsec-Transportmodus".
Verwenden Sie die folgende WFP-Konfiguration, um dieses Beispiel programmgesteuert zu implementieren.
Fügen Sie einen oder beide der folgenden MM-Richtlinienanbieterkontexte hinzu.
- Für IKE, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXT.
- Für AuthIP, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Anmerkung
Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende MM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der gesamte Datenverkehr entspricht dem Filter. providerContextKey- GUID des mm-Anbieterkontexts, der in Schritt 1 hinzugefügt wurde. Fügen Sie einen oder beide der folgenden QM-Transportmodusrichtlinienanbieterkontexte hinzu.
- Für IKE, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Für AuthIP, einen Richtlinienanbieterkontext vom Typ FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Dieser Kontext kann optional die AuthIP Extended Mode (EM)-Aushandlungsrichtlinie enthalten.
Anmerkung
Ein gemeinsames Schlüsselmodul wird ausgehandelt, und die entsprechende QM-Richtlinie wird angewendet. AuthIP ist das bevorzugte Schlüsselmodul, wenn sowohl IKE als auch AuthIP unterstützt werden.
Fügen Sie für jeden der in Schritt 1 hinzugefügten Kontexte einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert Filterbedingungen Leer. Der gesamte Datenverkehr entspricht dem Filter. providerContextKey- GUID des in Schritt 1 hinzugefügten QM-Anbieterkontexts. Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast- FWP_ACTION_CALLOUT_TERMINATING action.calloutKey- FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Ausgenommen den ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEFilterbedingung NlatUnicast FWPM_CONDITION_IP_PROTOCOL Filterbedingung IPPROTO_ICMP{V6}Diese Konstanten werden in winsock2.h definiert. FWP_ACTION_PERMIT Gewichtung FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Fügen Sie einen Filter mit den folgenden Eigenschaften hinzu.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast FWP_ACTION_CALLOUT_TERMINATING action.calloutKey- FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Ausgenommen den ICMP-Datenverkehr von IPsec, indem Sie einen Filter mit den folgenden Eigenschaften hinzufügen.
Filter-Eigenschaft Wert FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE Filterbedingung NlatUnicast FWPM_CONDITION_IP_PROTOCOL Filterbedingung IPPROTO_ICMP{V6}Diese Konstanten werden in winsock2.h definiert. FWP_ACTION_PERMIT Gewichtung FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
Bei FWPM_LAYER_IKEEXT_V{4|6} mm-Aushandlungsrichtlinie einrichten
Bei FWPM_LAYER_IPSEC_V{4|6} setup QM- und EM-Aushandlungsrichtlinie
Bei FWPM_LAYER_INBOUND_TRANSPORT_V{4|6}-Setup eingehender Paketfilterregeln
Bei FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} richten Sie ausgehende Filterregeln pro Paket