Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die IPsec-Schlüsselmodule (Internet Protocol Security), Internet Key Exchange (IKE) und Authenticated Internet Protocol (AuthIP) müssen den Netzwerkdatenverkehr von der IPsec-Filterung ausgenommen werden.
In der Windows-Filterplattform (WFP) fügt das Basisfiltermodul (Base Filtering Engine, BFE) automatisch IKE- und AuthIP-Ausnahmefilter hinzu, wenn der erste IKE- oder AuthIP-Hauptmodus-Richtlinienfilter (MM) hinzugefügt und gelöscht wird, wenn der letzte IKE- oder AuthIP MM-Richtlinienfilter gelöscht wird. Auf diese Weise müssen die Richtlinienanbieter IKE- und AuthIP-Filterausnahmen nicht einzeln verwalten.
Ein IKE MM-Richtlinienfilter ist ein Filter auf der Modulebene FWPM_LAYER_IKEEXT_V{4|6}-, der auf einen Anbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXTverweist.
Ein AuthIP MM-Richtlinienfilter ist ein Filter auf der Modulebene FWPM_LAYER_IKEEXT_V{4|6}-, der auf einen Anbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXTverweist.
Ein IKE- oder AuthIP-Ausnahmefilter ist ein Filter auf der Modulebene FWPM_LAYER_INBOUND_TRANSPORT_V{4|6}- oder FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} automatisch im FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Gewichtungsbereich gewichtet.
Die von BFE implementierten IKE- und AuthIP-Ausnahmen sind wie folgt.
| IP-Version | Hafen | Befreiung |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportebene und auf der ausgehenden Transportebene. Lassen Sie IKE- und AuthIP-Datenverkehr an den ALE-Empfangs-/Annahme- und Verbindungsebenen zu, beschränken Sie ihn jedoch auf das lokale System. |
| IPv6 |
UDP:500 |
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportebene und auf der ausgehenden Transportebene. Lassen Sie IKE- und AuthIP-Datenverkehr an den ALE-Empfangs-/Annahme- und Verbindungsebenen zu, beschränken Sie ihn jedoch auf das lokale System. |
Die IKE- und AuthIP-Ausnahmefilter sind für alle Adressen geöffnet. Um eine Firewall mit präziserer Kontrolle zu implementieren, sollten Richtlinienanbieter Filter in einem Gewichtsbereich hinzufügen, der höher als FWPM_WEIGHT_RANGE_IKE_EXEMPTIONSist.