IKE/AuthIP-Ausnahmen
Die Schlüsselmodule internetprotokollsicherheit (Internet Protocol Security, IPsec), Internet Key Exchange (IKE) und Authentifizierte Internetprotokoll (AuthIP) müssen ihren Netzwerkdatenverkehr von der IPsec-Filterung ausschließen, um zu funktionieren.
In Windows Filtering Platform (WFP) fügt die Basisfilter-Engine (BFE) automatisch IKE- und AuthIP-Ausnahmefilter hinzu, wenn der erste IKE- oder AuthIP- Standard-Modus (MM)-Richtlinienfilter hinzugefügt wird, und löscht sie, wenn der letzte IKE- oder AuthIP-MM-Richtlinienfilter gelöscht wird. Auf diese Weise müssen die Richtlinienanbieter IKE- und AuthIP-Filterausnahmen nicht einzeln verwalten.
Ein IKE MM-Richtlinienfilter ist ein Filter in der Engineebene FWPM_LAYER_IKEEXT_V{4|6} , der auf einen Anbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXT verweist.
Ein AuthIP MM-Richtlinienfilter ist ein Filter in der Modulebene FWPM_LAYER_IKEEXT_V{4|6} , der auf einen Anbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXT verweist.
Ein IKE- oder AuthIP-Ausnahmefilter ist ein Filter in der Modulebene FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} oder FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} , der im FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Gewichtungsbereich automatisch gewichtet wird.
Die von BFE implementierten IKE- und AuthIP-Ausnahmen sind wie folgt:
| IP-Version | Port | Ausnahme |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportschicht und auf der ausgehenden Transportschicht. Lassen Sie IKE- und AuthIP-Datenverkehr auf den ALE-Ebenen empfangen/akzeptieren und verbinden zu, aber beschränken Sie ihn auf das lokale System. |
| IPv6 |
UDP:500 |
Zulassen von IKE- und AuthIP-Datenverkehr auf der eingehenden Transportschicht und auf der ausgehenden Transportschicht. Lassen Sie IKE- und AuthIP-Datenverkehr auf den ALE-Ebenen empfangen/akzeptieren und verbinden zu, aber beschränken Sie ihn auf das lokale System. |
Die IKE- und AuthIP-Ausnahmefilter sind für alle Adressen offen. Um eine Firewall mit präziserer Steuerung zu implementieren, sollten Richtlinienanbieter Filter in einem Gewichtsbereich hinzufügen, der höher als FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS ist.