Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Scénář zásad zaručeného šifrování IPsec vyžaduje šifrování IPsec pro veškerý odpovídající provoz. Tuto zásadu je nutné zadat ve spojení s jednou z možností zásad režimu přenosu.
Garantované šifrování se obvykle používá k šifrování citlivého provozu na základě jednotlivých aplikací.
Příkladem možného scénáře zaručeného šifrování je zabezpečení všech přenosů dat jednosměrového vysílání s výjimkou protokolu ICMP, použití přenosového režimu protokolu IPsec, povolení zjišťování vyjednávání a vyžadování zaručeného šifrování pro všechny přenosy jednosměrového vysílání odpovídající místnímu portu TCP 5555.
Pokud chcete tento příklad implementovat programově, použijte následující konfiguraci WFP.
Přidejte jeden nebo oba následující kontexty zprostředkovatele zásad MM.
- Pro protokol IKE je kontext poskytovatele zásad typu FWPM_IPSEC_IKE_MM_CONTEXT.
- Pro AuthIP kontext zprostředkovatele zásad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Poznámka
Vyjedná se společný modul klíčů a použije se odpovídající zásada MM. AuthIP je upřednostňovaný modul pro klíče, pokud se podporuje protokol IKE i AuthIP.
Pro každý kontext přidaný v kroku 1 přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota Podmínky filtrování Prázdný. Veškerý provoz bude odpovídat filtru. providerContextKey Identifikátor GUID kontextu zprostředkovatele MM přidaný v kroku 1. Přidejte jeden nebo oba následující kontexty zprostředkovatele zásad přenosu QM a nastavte příznak IPSEC_POLICY_FLAG_ND_SECURE.
- Pro protokol IKE kontext zprostředkovatele zásad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Pro AuthIP kontext poskytovatele zásad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Tento kontext může volitelně obsahovat zásady vyjednávání rozšířeného režimu EM (AUTHIP).
Poznámka
Vyjedná se společný modul klíčů a použije se odpovídající zásada QM. AuthIP je upřednostňovaný modul pro klíče, pokud se podporuje protokol IKE i AuthIP.
Pro každý kontext přidaný v kroku 1 přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota Podmínky filtrování Prázdný. Veškerý provoz bude odpovídat filtru. providerContextKey Guid kontextu zprostředkovatele QM přidaného v kroku 1 Přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Přidejte filtr s následujícími vlastnostmi. Tento filtr povolí pokusy o příchozí připojení pouze v případě, že jsou zabezpečené protokolem IPsec.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Přidejte filtr s následujícími vlastnostmi. Tento filtr povolí příchozí připojení k portu TCP 5555 pouze v případě, že jsou šifrovaná.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování IPPROTO_TCPTato konstanta je definována v rozhraní winsock2.h. podmínka filtrování FWPM_CONDITION_IP_LOCAL_PORT 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION Přidejte filtr s následujícími vlastnostmi. Tento filtr povolí odchozí připojení jenom z portu TCP 5555, pokud jsou šifrovaná.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování IPPROTO_TCPTato konstanta je definována v rozhraní winsock2.h. podmínka filtrování FWPM_CONDITION_IP_LOCAL_PORT 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_ALE_CONNECT_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION
V FWPM_LAYER_IKEEXT_V{4|6} nastavte zásadu vyjednávání MM
V FWPM_LAYER_IPSEC_V{4|6} nastavte zásady QM a vyjednávání EM
V FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} nastavte příchozí pravidla filtrování paketů
V FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} nastavte pravidla filtrování odchozích paketů
V FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} nastavte příchozí pravidla filtrování připojení
V FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} nastavte pravidla filtrování odchozích připojení