Partager via


IKE/AuthIP Exemptions

Les modules de keying IPsec (Internet Protocol Security), Internet Key Exchange (IKE) et AuthIP (Authenticated Internet Protocol), afin de fonctionner, doivent exempter leur trafic réseau du filtrage IPsec.

Dans la plateforme de filtrage Windows (PAM), le moteur de filtrage de base (BFE) ajoute automatiquement des filtres d’exemption IKE et AuthIP lorsque le premier filtre de stratégie IKE ou Authentification principal (MM) est ajouté et les supprime lorsque le dernier filtre de stratégie IKE ou Authentification MM est supprimé. De cette façon, les fournisseurs de stratégie n’ont pas besoin de gérer les exemptions de filtrage IKE et AuthIP individuellement.

Un filtre de stratégie IKE MM est un filtre dans la couche moteur FWPM_LAYER_IKEEXT_V{4|6} qui fait référence à un contexte de fournisseur de type FWPM_IPSEC_IKE_MM_CONTEXT.

Un filtre de stratégie MM AuthIP est un filtre dans la couche moteur FWPM_LAYER_IKEEXT_V{4|6} qui fait référence à un contexte de fournisseur de type FWPM_IPSEC_AUTHIP_MM_CONTEXT.

Un filtre d’exemption IKE ou AuthIP est un filtre dans la couche moteur FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ou FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} pondéré automatiquement dans la plage de poids FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

Les exemptions IKE et AuthIP implémentées par le BFE sont les suivantes.

Version IP Port Exemption
IPv4
UDP :500 UDP :4500
Autorisez le trafic IKE et AuthIP au niveau de la couche de transport entrante et à la couche de transport sortante.
Autorisez le trafic IKE et AuthIP au niveau de la réception/accepter et connecter des couches, mais limitez-le au système local.
IPv6
UDP :500
Autorisez le trafic IKE et AuthIP au niveau de la couche de transport entrante et à la couche de transport sortante.
Autorisez le trafic IKE et AuthIP au niveau de la réception/accepter et connecter des couches, mais limitez-le au système local.

Les filtres d’exemption IKE et AuthIP sont ouverts à toutes les adresses. Pour implémenter un pare-feu avec un contrôle plus précis, les fournisseurs de stratégies doivent ajouter des filtres dans une plage de poids supérieure à FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

configuration IPsec

d’affectation de poids de filtre