Exenciones IKE/AuthIP
Los módulos de claves de seguridad del protocolo de Internet (IPsec), Intercambio de claves de Internet (IKE) y Protocolo de Internet autenticado (AuthIP), para funcionar, deben excluir su tráfico de red del filtrado de IPsec.
En la Plataforma de filtrado de Windows (PMA), el motor de filtrado base (BFE) agrega automáticamente filtros de exención IKE y AuthIP cuando se agrega el primer filtro de directiva de modo principal de IKE o AuthIP (MM) y los elimina cuando se elimina el último filtro de directiva IKE o AuthIP MM. De este modo, los proveedores de directivas no tienen que administrar las exenciones de filtrado IKE y AuthIP individualmente.
Un filtro de directiva IKE MM es un filtro en la capa del motor FWPM_LAYER_IKEEXT_V{4|6} que hace referencia a un contexto de proveedor de tipo FWPM_IPSEC_IKE_MM_CONTEXT.
Un filtro de directiva MM de AuthIP es un filtro en la capa del motor FWPM_LAYER_IKEEXT_V{4|6} que hace referencia a un contexto de proveedor de tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Un filtro de exención IKE o AuthIP es un filtro en la capa del motor FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} o FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} ponderado automáticamente en el intervalo de peso de FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS .
Las exenciones IKE y AuthIP implementadas por BFE son las siguientes.
| Versión de la dirección IP | Port | Exención |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Permita el tráfico de IKE y AuthIP en la capa de transporte entrante y en la capa de transporte saliente. Permita el tráfico de IKE y AuthIP en las capas de recepción/aceptación y conexión de ALE, pero restrinjalo al sistema local. |
| IPv6 |
UDP:500 |
Permita el tráfico de IKE y AuthIP en la capa de transporte entrante y en la capa de transporte saliente. Permita el tráfico de IKE y AuthIP en las capas de recepción/aceptación y conexión de ALE, pero restrinjalo al sistema local. |
Los filtros de exención IKE y AuthIP están abiertos a todas las direcciones. Para implementar un firewall con un control más pormenorizado, los proveedores de directivas deben agregar filtros en un intervalo de peso mayor que FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.