WindowsIPSec知识

urenai

直接在高负载服务中频繁使用netsh命令执行IPsec策略的修改可能会由于进程创建和系统调用开销而显得低效。Windows提供了API供程序以编程方式直接与IPSec服务交互，这些API可以实现更高效的操作。

以下是一些关键的Windows IPSec API 函数，你可以通过它们来管理IPsec安全关联（SAs）和筛选器操作：

        1.        IPSEC IOCTLs：
        •        使用DeviceIoControl函数对\\.\Global\{GUID}\ipsecsa设备进行IO控制操作，例如添加、删除或cha询SA。
        •        对于筛选器操作，可能需要利用IKEEXT接口或者FWP/IPsec过滤平台接口。
        2.        IKEEXT API：
        •        IKEEXT API 提供了一组用于管理IKE和IPsec策略及连接的函数，比如 IkeextAddIpsecFilter 和相关函数。
        3.        Windows Filtering Platform (WFP)：
        •        WFP是Windows Vista及更高版本中的一个高级网络筛选框架，它支持IPsec功能，并且提供了一套完整的API来动态地添加、删除和修改筛选器。
        •        例如，可以通过 FwpmEngineOpen 打开引擎，然后调用如 FwpmFilterAdd 添加新的IPsec过滤规则。

如果你希望编写服务端程序来高速插入、cha询或删除IP地址到IPsec策略中，应该考虑使用上述API而非依赖于netsh命令行工具。但是，请注意，正确使用这些API通常涉及复杂的编程模型，并要求深入理解IPsec和Windows安全子系统的内部工作原理。此外，处理IPsec策略的权限问题同样重要，在服务环境下应确保服务账户有足够的权限来进行此类操作。

urenai

官方能否把这些封库，网络安全这块空白。

uuyyhhjj

这种估计没洗，不如花钱雇人封好，要么自己造

urenai

uuyyhhjj 发表于 2024-1-31 16:30
这种估计没洗，不如花钱雇人封好，要么自己造

不全对，因为当下高web开发，你没可用的防火**，肯定不行。