IKE/AuthIP 豁免
Internet 协议安全性 (IPsec) 密钥模块、Internet 密钥交换 (IKE) 和经过身份验证的 Internet 协议 (AuthIP) ,为了正常运行,需要将其网络流量从 IPsec 筛选中免除。
在 Windows 筛选平台 (WFP) 基本筛选引擎 (BFE) 在添加第一个 IKE 或 AuthIP main 模式时自动添加 IKE 和 AuthIP 豁免筛选器 (MM) 策略筛选器,并在删除最后一个 IKE 或 AuthIP MM 策略筛选器时将其删除。 这样,策略提供程序就不必单独管理 IKE 和 AuthIP 筛选豁免。
IKE MM 策略筛选器是引擎层 FWPM_LAYER_IKEEXT_V{4|6} 中的筛选器,它引用 FWPM_IPSEC_IKE_MM_CONTEXT 类型的提供程序上下文。
AuthIP MM 策略筛选器是引擎层 FWPM_LAYER_IKEEXT_V{4|6} 中的筛选器,它引用 类型为 FWPM_IPSEC_AUTHIP_MM_CONTEXT 的提供程序上下文。
IKE 或 AuthIP 豁免筛选器是引擎层中的筛选器 ,FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 或 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 自动加权 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 权重。
BFE 实现的 IKE 和 AuthIP 豁免如下所示。
| IP 版本 | 端口 | 例外 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
允许入站传输层和出站传输层的 IKE 和 AuthIP 流量。 允许 ALE 接收/接受和连接层上的 IKE 和 AuthIP 流量,但将其限制为本地系统。 |
| IPv6 |
UDP:500 |
允许入站传输层和出站传输层的 IKE 和 AuthIP 流量。 允许 ALE 接收/接受和连接层上的 IKE 和 AuthIP 流量,但将其限制为本地系统。 |
IKE 和 AuthIP 豁免筛选器对所有地址开放。 若要实现具有更精细控制的防火墙,策略提供程序应添加权重范围高于 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 的筛选器。