Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Aktarım Modu IPsec ilke senaryosu, eşleşen tüm trafik için IPsec aktarım modu koruması gerektirir. IKE veya AuthIP anlaşması başarıyla tamamlanana kadar eşleşen tüm düz metin trafiği bırakılır. Anlaşma başarısız olursa, ilgili IP adresiyle bağlantı kopuk kalır.
Olası Aktarım Modu senaryosuna örnek olarak "IPsec aktarım modunu kullanarak ICMP dışında tüm tek noktaya yayın veri trafiğinin güvenliğini sağlama"dır.
Bu örneği program aracılığıyla uygulamak için aşağıdaki WFP yapılandırmasını kullanın.
Aşağıdaki MM ilkesi sağlayıcı bağlamlarından birini veya her ikisini ekleyin.
- IKE için, FWPM_IPSEC_IKE_MM_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
- AuthIP için, FWPM_IPSEC_AUTHIP_MM_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
Not
Ortak bir anahtarlama modülü belirlenir ve buna karşılık gelen MM ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen MM sağlayıcı bağlamının GUID'i. Aşağıdaki QM aktarım modu ilke sağlayıcısı bağlamlarından birini veya her ikisini ekleyin.
- IKE için, FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
- AuthIP için, FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXTtüründe bir ilke sağlayıcısı bağlamı. Bu bağlam isteğe bağlı olarak AuthIP Genişletilmiş Modu (EM) anlaşması ilkesini içerebilir.
Not
Ortak bir anahtarlama modülü belirlenir ve ilgili Soru-Cevap ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen QM sağlayıcısı bağlamının GUID'i. Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEfiltreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_ICMP{V6}Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_ICMP{V6}Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
FWPM_LAYER_IKEEXT_V{4|6} mm anlaşma ilkesi
FWPM_LAYER_IPSEC_V{4|6} QM ve EM anlaşma ilkesi
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} adresinde paket başına gelen filtreleme kuralları
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} adresinde paket başına giden filtreleme kuralları
İlgili konular
-
Örnek kod: Aktarım Modu kullanma