Garantált titkosítás
A garantált titkosítási IPsec-szabályzat forgatókönyve minden egyező forgalomhoz IPsec-titkosítást igényel. Ezt a házirendet az átviteli mód egyik házirendbeállításával együtt kell megadni.
A garantált titkosítást általában a bizalmas forgalom alkalmazásonkénti titkosítására használják.
Egy lehetséges garantált titkosítási forgatókönyv például a következő: "Az összes egyedi küldésű adatforgalom védelme az ICMP kivételével IPsec átviteli mód használatával, a tárgyalási felderítés engedélyezése, és az 5555-ös TCP-portnak megfelelő összes egyedi küldésű adatforgalom garantált titkosításának megkövetelése."
A példa programozott implementálásához használja a következő WFP-konfigurációt.
Adja hozzá a következő MM-házirend-szolgáltatói környezetek egyikét vagy mindkettőt.
- Az IKE esetében egy FWPM_IPSEC_IKE_MM_CONTEXT típusú házirend-szolgáltatói környezet.
- Az AuthIP esetében egy FWPM_IPSEC_AUTHIP_MM_CONTEXT típusú házirend-szolgáltatói környezet.
Jegyzet
A rendszer egyeztet egy közös kulcskezelési modult, és alkalmazza a megfelelő MM-szabályzatot. Az AuthIP az előnyben részesített kulcskészítési modul, ha az IKE és az AuthIP is támogatott.
Az 1. lépésben hozzáadott összes környezethez adjon hozzá egy szűrőt az alábbi tulajdonságokkal.
Szűrő tulajdonság Érték Szűrési feltételek Üres. Minden forgalom megegyezik a szűrővel. providerContextKey Az 1. lépésben hozzáadott MM-szolgáltatói környezet GUID azonosítója. Adjon hozzá egyet vagy mindkettőt a következő QM átviteli mód házirend-szolgáltatói környezetei közül, és állítsa be a IPSEC_POLICY_FLAG_ND_SECURE jelzőt.
- Az IKE-hez egy FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXTtípusú házirend-szolgáltatói környezet.
- Az AuthIP esetében egy FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXTtípusú házirend-szolgáltatói környezet. Ez a környezet opcionálisan tartalmazhatja az AuthIP kiterjesztett módú (EM) tárgyalási szabályzatot.
Jegyzet
A rendszer egyeztet egy közös kulcskezelési modult, és alkalmazza a megfelelő QM-szabályzatot. Az AuthIP az előnyben részesített kulcskészítési modul, ha az IKE és az AuthIP is támogatott.
Az 1. lépésben hozzáadott összes környezethez adjon hozzá egy szűrőt az alábbi tulajdonságokkal.
Szűrő tulajdonság Érték Szűrési feltételek Üres. Minden forgalom megegyezik a szűrővel. providerContextKey Az 1. lépésben hozzáadott QM-szolgáltatói környezet GUID azonosítója. Adjon hozzá egy szűrőt az alábbi tulajdonságokkal.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY A következő tulajdonságokkal rendelkező szűrő hozzáadásával mentesítheti az IPsec ICMP-forgalmát.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast FWPM_CONDITION_IP_PROTOCOL szűrési feltétel **IPPROTO_ICMP{V6}**Ezek az állandók winsock2.h formátumban vannak definiálva. action.type FWP_ACTION_PERMIT súly FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adjon hozzá egy szűrőt az alábbi tulajdonságokkal.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER A következő tulajdonságokkal rendelkező szűrő hozzáadásával mentesítheti az IPsec ICMP-forgalmát.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast FWPM_CONDITION_IP_PROTOCOL szűrési feltétel **IPPROTO_ICMP{V6}**Ezek az állandók winsock2.h formátumban vannak definiálva. action.type FWP_ACTION_PERMIT súly FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adjon hozzá egy szűrőt az alábbi tulajdonságokkal. Ez a szűrő csak akkor engedélyezi a bejövő kapcsolati kísérleteket, ha azokat IPsec védi.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} A következő tulajdonságokkal rendelkező szűrő hozzáadásával mentesítheti az IPsec ICMP-forgalmát.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast FWPM_CONDITION_IP_PROTOCOL szűrési feltétel **IPPROTO_ICMP{V6}**Ezek az állandók winsock2.h formátumban vannak definiálva. action.type FWP_ACTION_PERMIT súly FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adjon hozzá egy szűrőt az alábbi tulajdonságokkal. Ez a szűrő csak akkor engedélyezi a bejövő kapcsolatokat az 5555-ös TCP-porthoz, ha titkosítva vannak.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast FWPM_CONDITION_IP_PROTOCOL szűrési feltétel IPPROTO_TCPEz az állandó a winsock2.h fájlban van definiálva. FWPM_CONDITION_IP_LOCAL_PORT szűrési feltétel 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION Adjon hozzá egy szűrőt az alábbi tulajdonságokkal. Ez a szűrő csak akkor engedélyezi a kimenő kapcsolatokat az 5555-ös TCP-portról, ha titkosítva vannak.
Szűrő tulajdonság Érték FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE szűrési feltétel NlatUnicast FWPM_CONDITION_IP_PROTOCOL szűrési feltétel IPPROTO_TCPEz az állandó a winsock2.h fájlban van definiálva. FWPM_CONDITION_IP_LOCAL_PORT szűrési feltétel 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_ALE_CONNECT_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION
A(z) FWPM_LAYER_IKEEXT_V{4|6} beállításánál
A(z) {4|6} FWPM_LAYER_IPSEC_V qm és EM tárgyalási szabályzatának beállítása
A(z) {4|6} FWPM_LAYER_INBOUND_TRANSPORT_V csomagonkénti bejövő szűrési szabályok beállítása
A(z) {4|6} FWPM_LAYER_OUTBOUND_TRANSPORT_V csomagonkénti kimenő szűrési szabályok beállítása
A(z) {4|6} FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V kapcsolatonkénti bejövő szűrési szabályok beállítása
A(z) FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} helyen állítsa be a kapcsolatonkénti kimenő szűrési szabályokat