Share via

IPsec 組態

  • 發行項

Windows 篩選平臺 (WFP) 是具有進階安全性的 Windows 防火牆基礎平臺。 WFP 可用來設定網路篩選規則,其中包括管理使用 IPsec 保護網路流量的規則。 應用程式開發人員可以使用 WFP API 直接設定 IPsec,以便利用比透過適用於進階安全性之 Windows 防火牆的 Microsoft Management Console (MMC) 嵌入式管理單元公開的模型更細微的網路流量篩選模型。

什麼是 IPsec

因特網通訊協定安全性 (IPsec) 是一組安全性通訊協定,用來在因特網上機密傳輸 IP 封包。 IPsec 以前是所有 IPv6 實作的必要專案(但請參閱 IPv6 節點需求;以及 IPv4 的選擇性。

受保護的IP流量有兩個選擇性的IPsec標頭,可識別套用至IP封包的密碼編譯保護類型,並包含譯碼受保護封包的資訊。

封裝安全性承載 (ESP) 標頭會藉由執行驗證和選擇性加密,用於隱私權和保護惡意修改。 它可用於周遊網路位址轉換 (NAT) 路由器的流量。

驗證標頭 (AH) 僅用於執行驗證,以防止惡意修改。 它不能用於周遊 NAT 路由器的流量。

如需 IPsec 的詳細資訊,請參閱:

IPsec 技術參考

什麼是 IKE

Internet Key Exchange (IKE) 是屬於 IPsec 通訊協定集的金鑰交換通訊協定。 在設定安全連線時,會使用 IKE,並完成秘密密鑰和其他保護相關參數的安全交換,而不需使用者介入。

如需 IKE 的詳細資訊,請參閱:

因特網金鑰交換

什麼是 AuthIP

已驗證的因特網通訊協定 (AuthIP) 是新的金鑰交換通訊協定,其擴充 IKE 如下所示。

雖然 IKE 只支援電腦驗證認證,但 AuthIP 也支援:
  • 用戶認證:NTLM、Kerberos、憑證。
  • 網路存取保護 (NAP) 健康情況憑證。
  • 匿名認證,用於選擇性驗證。
  • 認證組合;例如,計算機和使用者 Kerberos 認證的組合。

AuthIP 具有驗證重試機制,會在連線失敗之前先驗證所有已設定的驗證方法。
AuthIP 可以搭配安全套接字使用,以實作以應用程式為基礎的 IPsec 安全流量。 提供:

  • 每個套接字驗證和加密。 如需詳細資訊,請參閱 WSASetSocketSecurity
  • 用戶端模擬。 (IPsec 會模擬建立套接字的安全性內容。
  • 輸入和輸出對等名稱驗證。 如需詳細資訊,請參閱 WSASetSocketPeerTargetName

什麼是 IPsec 原則

IPsec 原則是一組規則,可決定要使用 IPsec 保護哪種類型的IP流量,以及如何保護該流量。 一次計算機上只有一個 IPsec 原則作用中。

若要深入瞭解如何實作 IPsec 原則,請開啟本機安全策略 MMC 嵌入式管理單元 (secpol.msc),按 F1 以顯示 [說明],然後從目錄中選取 [建立和使用 IPsec 原則]。

如需 IPsec 原則的詳細資訊,請參閱:

IPsec 原則概念概觀
IPsec 原則的描述

如何使用 WFP 設定 IPsec 原則

IPsec 的 Microsoft 實作會使用 Windows 篩選平台來設定 IPsec 原則。 IPsec 原則是藉由在各種 WFP 層新增篩選來實作,如下所示。

  • 在FWPM_LAYER_IKEEXT_V{4|6} 層新增篩選,以指定主要模式 (MM) 交換期間密鑰模組 (IKE/AuthIP) 所使用的交涉原則。 驗證方法和密碼編譯演算法是在這些層級指定。

  • 在FWPM_LAYER_IPSEC_V{4|6} 層新增篩選,以指定密鑰模組在快速模式 (QM) 和擴充模式 (EM) 交換期間所使用的交涉原則。 IPsec 標頭 (AH/ESP) 和密碼編譯演算法是在這些層級指定。

    交涉原則會指定為與篩選相關聯的原則提供者內容。 索引鍵模組會根據流量特性列舉原則提供者內容,並取得要用於安全性交涉的原則。

    注意

    WFP API 可用來直接指定安全性關聯 (CA),因此忽略密鑰模組交涉原則。

     

  • 在 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 和 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 層新增會叫用圖說文字的篩選,並判斷應保護哪些流量流程。

  • 在FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層新增實作身分識別篩選和個別應用程式原則的篩選條件。

下圖說明與 IPsec 作業相關的各種 WFP 元件互動。ipsec configuration using windows filtering platform

設定 IPsec 之後,它會與 WFP 整合,並提供資訊以作為應用層強制執行 (ALE) 授權層的篩選條件來擴充 WFP 篩選功能。 例如,IPsec 提供遠端使用者和遠端電腦身分識別,其中 WFP 會在 ALE 連線和接受授權層公開。 這項資訊可用於糧食計劃署型防火牆實作的細部遠端身分識別授權。

以下是可使用 IPsec 實作的範例隔離原則:

  • FWPM_LAYER_IKEEXT_V{4|6} 層 – Kerberos 驗證。
  • FWPM_LAYER_IPSEC_V{4|6} 層 – AH/SHA-1。
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 和 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 層 - 所有網路流量的談判探索。
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層 - 所有網路流量都需要 IPsec。

WFP 圖層

篩選圖層標識碼

ALE 層次

使用 WFP API 實作的 IPsec 原則案例:

傳輸模式

交涉探索傳輸模式

界限模式中的交涉探索傳輸模式

通道模式

保證加密

遠端身分識別授權

手動 IPsec SA

IKE/AuthIP 豁免

IPsec 解決方案:

伺服器和網域隔離