通过

IPsec 配置

Windows 筛选平台(WFP)是具有高级安全性的 Windows 防火墙的基础平台。 WFP 用于配置网络筛选规则,其中包括用于控制使用 IPsec 保护网络流量的规则。 应用程序开发人员可以直接使用 WFP API 配置 IPsec,以便利用比通过具有高级安全性的 Windows 防火墙Microsoft管理控制台(MMC)管理单元公开的模型更精细的网络流量筛选模型。

什么是 IPsec

Internet 协议安全性(IPsec)是一组安全协议,用于在 Internet 上机密传输 IP 数据包。 IPsec 以前对所有 IPv6 实现是必需的(但请参阅 IPv6 节点要求;对于 IPv4 是可选的。

受保护的 IP 流量有两个可选的 IPsec 标头,用于标识应用于 IP 数据包的加密保护类型,并包含用于解码受保护数据包的信息。

封装安全有效负载 (ESP) 标头用于通过执行身份验证和可选加密来保护恶意修改。 它可用于遍历网络地址转换(NAT)路由器的流量。

身份验证标头(AH)仅用于通过执行身份验证来防止恶意修改。 它不能用于遍历 NAT 路由器的流量。

有关 IPsec 的详细信息,另请参阅:

IPsec 技术参考

什么是 IKE

Internet 密钥交换(IKE)是 IPsec 协议集的一部分的密钥交换协议。 设置安全连接时使用 IKE,无需用户干预即可安全地交换密钥和其他与保护相关的参数。

有关 IKE 的详细信息,另请参阅:

Internet 密钥交换

什么是 AuthIP

经过身份验证的 Internet 协议(AuthIP)是扩展 IKEv1 的密钥交换协议,如下所示。

虽然 IKEv1 仅支持计算机身份验证凭据,但 AuthIP 还支持:
  • 用户凭据:NTLM、Kerberos、证书。
  • 网络访问保护(NAP)运行状况证书。
  • 匿名凭据,用于可选身份验证。
  • 凭据组合;例如,计算机和用户 Kerberos 凭据的组合。

AuthIP 具有身份验证重试机制,用于在连接失败之前验证所有配置的身份验证方法。
AuthIP 可用于安全套接字,以实现基于应用程序的 IPsec 安全流量。 它提供:

  • 按套接字身份验证和加密。 有关详细信息,请参阅 WSASetSocketSecurity
  • 客户端模拟。 (IPsec 模拟在其中创建套接字的安全上下文。
  • 入站和出站对等名称验证。 有关详细信息,请参阅 WSASetSocketPeerTargetName

注意

Microsoft建议尽可能使用 IKEv2。

什么是 IPsec 策略

IPsec 策略是一组规则,用于确定需要使用 IPsec 保护哪种类型的 IP 流量以及如何保护该流量。 一次计算机上只有一个 IPsec 策略处于活动状态。

若要了解有关实现 IPsec 策略的详细信息,请打开本地安全策略 MMC 管理单元(secpol.msc),按 F1 显示帮助,然后从目录中选择“创建和使用 IPsec 策略”。

有关 IPsec 策略的详细信息,另请参阅:

IPsec 策略概念概述
IPsec 策略 说明

如何使用 WFP 配置 IPsec 策略

IPsec 的Microsoft实现使用 Windows 筛选平台来设置 IPsec 策略。 IPsec 策略通过在各种 WFP 层中添加筛选器来实现,如下所示。

  • 在 FWPM_LAYER_IKEEXT_V{4|6} 层添加筛选器,用于指定密钥模块(IKE/AuthIP)在主模式(MM)交换期间使用的协商策略。 这些层指定了身份验证方法和加密算法。

  • 在 FWPM_LAYER_IPSEC_V{4|6} 层添加筛选器,用于指定密钥模块在快速模式(QM)和扩展模式(EM)交换期间使用的协商策略。 在这些层中指定了 IPsec 标头(AH/ESP)和加密算法。

    协商策略指定为与筛选器关联的策略提供程序上下文。 密钥模块基于流量特征枚举策略提供程序上下文,并获取用于安全协商的策略。

    注意

    WFP API 可用于直接指定安全关联(CA),因此可以忽略关键模块协商策略。

     

  • 在 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 层和 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 层添加用于调用标注并确定应保护哪些流量流的筛选器。

  • 在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 层添加实现标识筛选和按应用程序策略的筛选器。

下图说明了与 IPsec作相关的各种 WFP 组件的交互。使用 windows 筛选平台ipsec 配置

配置 IPsec 后,它将与 WFP 集成,并通过提供信息在应用程序层强制(ALE)授权层中用作筛选条件来扩展 WFP 筛选功能。 例如,IPsec 提供远程用户和远程计算机标识,WFP 在 ALE 连接中公开并接受授权层。 此信息可用于基于 WFP 的防火墙实现的精细远程标识授权。

下面是可以使用 IPsec 实现的示例隔离策略:

  • FWPM_LAYER_IKEEXT_V{4|6} 层 – Kerberos 身份验证。
  • FWPM_LAYER_IPSEC_V{4|6} 层 – AH/SHA-1。
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 层和 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 层 - 所有网络流量的协商发现。
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 层 - 所有网络流量所需的 IPsec。

WFP 层

筛选层标识符

ALE 层

使用 WFP API 实现的 IPsec 策略方案:

传输模式

协商发现传输模式

边界模式中的协商发现传输模式

隧道模式

保证加密

远程标识授权

手动 IPsec CA

IKE/AuthIP 豁免

IPsec 解决方案:

服务器和域隔离