IKE/AuthIP 豁免
網際網路通訊協定安全性 (IPsec) 金鑰模組、網際網路金鑰交換 (IKE) 和已驗證的網際網路通訊協定 (驗證網際網路通訊協定) ,才能運作,必須豁免其 IPsec 篩選的網路流量。
在 Windows 篩選平台中, () 基礎篩選引擎 (BFE) 會在第一個 IKE 或 AuthIP 主要模式 (MM) 原則篩選時自動新增 IKE 和 AuthIP 豁免篩選,並在刪除最後一個 IKE 或 AuthIP MM 原則篩選時刪除它們。 如此一來,原則提供者就不需要個別管理 IKE 和 AuthIP 篩選豁免。
IKE MM 原則篩選準則是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中參考類型 FWPM_IPSEC_IKE_MM_CONTEXT提供者內容的篩選。
AuthIP MM 原則篩選是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中 參考FWPM_IPSEC_AUTHIP_MM_CONTEXT類型的提供者內容篩選。
IKE 或 AuthIP 豁免篩選準則是引擎層 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 或 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 自動加權 在FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 權數範圍內的篩選。
BFE 所實作的 IKE 和 AuthIP 豁免如下。
| IP 版本 | 連接埠 | 豁免 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將它限制為本機系統。 |
| IPv6 |
UDP:500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將它限制為本機系統。 |
IKE 和 AuthIP 豁免篩選準則會開放給所有位址。 若要實作更細微的控制防火牆,原則提供者應該在大於 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS的權數範圍中新增篩選。
相關主題
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應