Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uzaktan Kimlik Yetkilendirme IPsec ilke senaryosu, gelen bağlantıların Windows güvenlik tanımlayıcısı (SD) erişim denetimi listesinde (ACL) belirtilen belirli bir uzak güvenlik sorumluları kümesinden gelmesini gerektirir. Uzak kimlik (IPsec tarafından belirlendiği gibi) izin verilen kimlik kümesiyle eşleşmiyorsa, bağlantı bırakılır. Bu ilke, aktarım modu ilke seçeneklerinden biriyle birlikte belirtilmelidir.
AuthIP etkinleştirilirse, biri AuthIP ana moduna, diğeri AuthIP genişletilmiş moduna karşılık gelen iki güvenlik tanımlayıcısı belirtilebilir.
Olası Anlaşma Bulma Aktarım Modu senaryosuna örnek olarak"ICMP dışındaki tüm tek noktaya yayın veri trafiğinin güvenliğini sağlama, IPsec aktarım modunu kullanma, anlaşma bulmayı etkinleştirme ve güvenlik tanımlayıcısı SD1 (IKE/AuthIP ana moduna karşılık gelir) ve güvenlik tanımlayıcısı SD2 (AuthIP genişletilmiş moduna karşılık gelir) olarak izin verilen uzak kimliklere gelen erişimi kısıtlama) ve TCP yerel bağlantı noktası 5555'e karşılık gelen tüm tek noktaya yayın trafiği için"dir.
Bu örneği program aracılığıyla uygulamak için aşağıdaki WFP yapılandırmasını kullanın.
Aşağıdaki MM ilkesi sağlayıcı bağlamlarından birini veya her ikisini ekleyin.
- IKE için, FWPM_IPSEC_IKE_MM_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
- AuthIP için, FWPM_IPSEC_AUTHIP_MM_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
Not
Ortak bir anahtarlama modülü belirlenir ve buna karşılık gelen MM ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen MM sağlayıcı bağlamının GUID'i. Aşağıdaki QM aktarım modu ilke sağlayıcı bağlamlarından birini veya her ikisini ekleyin ve IPSEC_POLICY_FLAG_ND_SECURE bayrağını ayarlayın.
- IKE için, FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXTtüründe bir ilke sağlayıcısı bağlamı.
- AuthIP için, AuthIP Genişletilmiş Modu (EM) anlaşma ilkesini içeren FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT türünde bir ilke sağlayıcısı bağlamı.
Not
Ortak bir anahtarlama modülü belirlenir ve ilgili Soru-Cevap ilkesi uygulanır. Hem IKE hem de AuthIP destekleniyorsa AuthIP tercih edilen anahtarlama modülüdür.
1. adımda eklenen bağlamların her biri için aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer Filtreleme koşulları Boş. Tüm trafik filtreyle eşleşecektir. providerContextKey 1. adımda eklenen QM sağlayıcısı bağlamının GUID'i. Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu **IPPROTO_ICMP{V6}**Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_ICMP{V6}Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre yalnızca IPSec tarafından güvenliği sağlanmışsa gelen bağlantı girişimlerine izin verir.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Aşağıdaki özelliklere sahip bir filtre ekleyerek ICMP trafiğini IPsec'ten muaf tut.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu **IPPROTO_ICMP{V6}**Bu sabitler winsock2.h içinde tanımlanır. action.type FWP_ACTION_PERMIT ağırlık FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre, karşılık gelen uzak kimliklere hem SD1 hem de SD2 tarafından izin veriliyorsa 5555 numaralı TCP bağlantı noktasına gelen bağlantılara izin verir.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_TCPBu sabit winsock2.h içinde tanımlanır. FWPM_CONDITION_IP_LOCAL_PORT filtreleme koşulu 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Aşağıdaki özelliklere sahip bir filtre ekleyin. Bu filtre, önceki filtreyle eşleşmeyen 5555 numaralı TCP bağlantı noktasına gelen diğer bağlantıları engeller.
Filter özelliği Değer FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE filtreleme koşulu NlatUnicast FWPM_CONDITION_IP_PROTOCOL filtreleme koşulu IPPROTO_TCPBu sabit winsock2.h içinde tanımlanır. FWPM_CONDITION_IP_LOCAL_PORT filtreleme koşulu 5555 action.type FWP_ACTION_BLOCK
FWPM_LAYER_IKEEXT_V{4|6} mm anlaşma ilkesi
FWPM_LAYER_IPSEC_V{4|6} QM ve EM anlaşma ilkesi
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} adresinde paket başına gelen filtreleme kuralları
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} adresinde paket başına giden filtreleme kuralları
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} bağlantı başına gelen filtreleme kurallarını
İlgili konular
-
Örnek kod: Aktarım Modu kullanma