Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O cenário de política IPsec do Modo de Transporte requer proteção do modo de transporte IPsec para todo o tráfego correspondente. Qualquer tráfego de texto não criptografado correspondente é descartado até que a negociação IKE ou AuthIP seja concluída com êxito. Se a negociação falhar, a conectividade com o endereço IP correspondente permanecerá interrompida.
Um exemplo de um possível cenário de Modo de Transporte é "Proteger todo o tráfego de dados unicast, exceto ICMP, usando o modo de transporte IPsec".
Para implementar este exemplo programaticamente, use a seguinte configuração do WFP.
Adicione um ou ambos os seguintes contextos de provedor de política de MM.
- Para IKE, um contexto de provedor de políticas do tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para AuthIP, um contexto de provedor de políticas do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Observação
Um módulo de chaveamento comum será negociado e a política de MM correspondente será aplicada. AuthIP é o módulo de chaveamento preferido se IKE e AuthIP são suportados.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor MM adicionado na etapa 1. Adicione um ou ambos os seguintes contextos de provedor de política de modo de transporte QM.
- Para IKE, um contexto de provedor de políticas do tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para AuthIP, um contexto de provedor de políticas do tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Este contexto pode, opcionalmente, conter a política de negociação do Modo Estendido (EM) AuthIP.
Observação
Um módulo de chaveamento comum será negociado e a política de QM correspondente será aplicada. AuthIP é o módulo de chaveamento preferido se IKE e AuthIP são suportados.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor QM adicionado na etapa 1. Adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Isente o tráfego ICMP do IPsec adicionando um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEcondição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_ICMP{V6}Estas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Isente o tráfego ICMP do IPsec adicionando um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_ICMP{V6}Estas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
No FWPM_LAYER_IKEEXT_V{4|6} configuração MM política de negociação
Na FWPM_LAYER_IPSEC_V{4|6} configuração da política de negociação de QM e EM
No FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar regras de filtragem de entrada por pacote
No FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurar regras de filtragem de saída por pacote