Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Garantili Şifreleme IPsec ilke senaryosu, eşleşen tüm trafik için IPsec şifrelemesi gerektirir. Bu ilke, aktarım modu ilke seçeneklerinden biriyle birlikte belirtilmelidir.
Garantili Şifreleme genellikle hassas trafiği uygulama bazında şifrelemek için kullanılır.
Olası bir Garantili Şifreleme senaryosuna örnek olarak "IPsec aktarım modunu kullanarak ICMP dışında tüm tek noktaya yayın veri trafiğinin güvenliğini sağlama, anlaşma bulmayı etkinleştirme ve TCP yerel bağlantı noktası 5555'e karşılık gelen tüm tek noktaya yayın trafiği için garantili şifreleme gerektirme" örnektir.
Bu örneği program aracılığıyla uygulamak için aşağıdaki WFP yapılandırmasını kullanın.
Aşağıdaki MM ilkesi sağlayıcı bağlamlarından birini veya her ikisini ekleyin.
- IKE için, FWPM_IPSEC_IKE_MM_CONTEXT türünde bir ilke sağlayıcısı bağlamı.
- AuthIP için, FWPM_IPSEC_AUTHIP_MM_CONTEXT türünde bir ilke sağlayıcısı bağlamı.
Not
Ortak bir anahtarlama modülü belirlenir ve buna karşılık gelen MM ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen MM sağlayıcı bağlamının GUID'i. Aşağıdaki QM aktarım modu ilke sağlayıcı bağlamlarından birini veya her ikisini ekleyin ve IPSEC_POLICY_FLAG_ND_SECURE bayrağını ayarlayın.
- IKE için, FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
- AuthIP için, FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXTtüründe bir ilke sağlayıcısı bağlamı. Bu bağlam isteğe bağlı olarak AuthIP Genişletilmiş Modu (EM) anlaşması ilkesini içerebilir.
Not
Ortak bir anahtarlama modülü belirlenir ve ilgili Soru-Cevap ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen QM sağlayıcısı bağlamının GUID'i. Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu **IPPROTO_ICMP{V6}**Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu **IPPROTO_ICMP{V6}**Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre yalnızca IPSec tarafından güvenliği sağlanmışsa gelen bağlantı girişimlerine izin verir.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu **IPPROTO_ICMP{V6}**Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre yalnızca şifrelenmişse 5555 numaralı TCP bağlantı noktasına gelen bağlantılara izin verir.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_TCPBu sabit winsock2.h içinde tanımlanır. FWPM_CONDITION_IP_LOCAL_PORT filtreleme koşulu 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre yalnızca şifrelenmişse 5555 numaralı TCP bağlantı noktasından giden bağlantılara izin verir.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_TCPBu sabit winsock2.h içinde tanımlanır. FWPM_CONDITION_IP_LOCAL_PORT filtreleme koşulu 5555 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_ALE_CONNECT_V{4|6} rawContext FWPM_CONTEXT_ALE_SET_CONNECTION_REQUIRE_IPSEC_ENCRYPTION
FWPM_LAYER_IKEEXT_V{4|6} mm anlaşma ilkesi
FWPM_LAYER_IPSEC_V{4|6} QM ve EM anlaşma ilkesi
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} adresinde paket başına gelen filtreleme kuralları
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} adresinde paket başına giden filtreleme kuralları
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} bağlantı başına gelen filtreleme kurallarını
FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} adresinde bağlantı başına giden filtreleme kuralları
İlgili konular
-
Örnek kod: Aktarım Modu kullanma