IKE/AuthIP-Ausnahmen

Die Schlüsselmodule internetprotokollsicherheit (Internet Protocol Security, IPsec), Internet Key Exchange (IKE) und Authentifizierte Internetprotokoll (AuthIP) müssen ihren Netzwerkdatenverkehr von der IPsec-Filterung ausschließen, um zu funktionieren.

In Windows Filtering Platform (WFP) fügt die Basisfilter-Engine (BFE) automatisch IKE- und AuthIP-Ausnahmefilter hinzu, wenn der erste IKE- oder AuthIP- Standard-Modus (MM)-Richtlinienfilter hinzugefügt wird, und löscht sie, wenn der letzte IKE- oder AuthIP-MM-Richtlinienfilter gelöscht wird. Auf diese Weise müssen die Richtlinienanbieter IKE- und AuthIP-Filterausnahmen nicht einzeln verwalten.

Ein IKE MM-Richtlinienfilter ist ein Filter in der Engineebene FWPM_LAYER_IKEEXT_V{4|6} , der auf einen Anbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXT verweist.

Ein AuthIP MM-Richtlinienfilter ist ein Filter in der Modulebene FWPM_LAYER_IKEEXT_V{4|6} , der auf einen Anbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXT verweist.

Ein IKE- oder AuthIP-Ausnahmefilter ist ein Filter in der Modulebene FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} oder FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} , der im FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Gewichtungsbereich automatisch gewichtet wird.

Die von BFE implementierten IKE- und AuthIP-Ausnahmen sind wie folgt:

IP-Version Port Ausnahme
IPv4
UDP:500 UDP:4500
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportschicht und auf der ausgehenden Transportschicht.
Lassen Sie IKE- und AuthIP-Datenverkehr auf den ALE-Ebenen empfangen/akzeptieren und verbinden zu, aber beschränken Sie ihn auf das lokale System.
IPv6
UDP:500
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportschicht und auf der ausgehenden Transportschicht.
Lassen Sie IKE- und AuthIP-Datenverkehr auf den ALE-Ebenen empfangen/akzeptieren und verbinden zu, aber beschränken Sie ihn auf das lokale System.

Die IKE- und AuthIP-Ausnahmefilter sind für alle Adressen offen. Um eine Firewall mit präziserer Steuerung zu implementieren, sollten Richtlinienanbieter Filter in einem Gewichtsbereich hinzufügen, der höher als FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS ist.

IPsec-Konfiguration

Filtergewichtungszuweisung