IKE/AuthIP 예외
IPsec(인터넷 프로토콜 보안) 키 지정 모듈, IKE(인터넷 키 교환) 및 인증된 인터넷 프로토콜(AuthIP)이 작동하려면 IPsec 필터링에서 네트워크 트래픽을 제외해야 합니다.
WFP(Windows 필터링 플랫폼)에서 BFE(기본 필터링 엔진)는 첫 번째 IKE 또는 AuthIP MM(기본 모드) 정책 필터가 추가되면 자동으로 IKE 및 AuthIP 예외 필터를 추가하고 마지막 IKE 또는 AuthIP MM 정책 필터가 삭제되면 해당 필터를 삭제합니다. 이러한 방식으로 정책 공급자는 IKE 및 AuthIP 필터링 예외를 개별적으로 관리할 필요가 없습니다.
IKE MM 정책 필터는 FWPM_IPSEC_IKE_MM_CONTEXT 형식의 공급자 컨텍스트를 참조하는 엔진 계층 FWPM_LAYER_IKEEXT_V{4|6}의 필터입니다.
AuthIP MM 정책 필터는 FWPM_IPSEC_AUTHIP_MM_CONTEXT 형식의 공급자 컨텍스트를 참조하는 엔진 계층 FWPM_LAYER_IKEEXT_V{4|6}의 필터입니다.
IKE 또는 AuthIP 예외 필터는 엔진 계층 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 또는 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}의 필터로, FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 가중치 범위에서 자동 가중치가 적용됩니다.
BFE에서 구현하는 IKE 및 AuthIP 예외는 다음과 같습니다.
| IP 버전 | 포트 | 예외 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
인바운드 전송 계층 및 아웃바운드 전송 계층에서 IKE 및 AuthIP 트래픽을 허용합니다. ALE 수신/수락 및 연결 계층에서 IKE 및 AuthIP 트래픽을 허용하지만 로컬 시스템으로 제한합니다. |
| IPv6 |
UDP:500 |
인바운드 전송 계층 및 아웃바운드 전송 계층에서 IKE 및 AuthIP 트래픽을 허용합니다. ALE 수신/수락 및 연결 계층에서 IKE 및 AuthIP 트래픽을 허용하지만 로컬 시스템으로 제한합니다. |
IKE 및 AuthIP 예외 필터는 모든 주소에 열려 있습니다. 보다 세분화된 제어를 사용하여 방화벽을 구현하려면 정책 공급자가 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS보다 높은 가중치 범위에 필터를 추가해야 합니다.