次の方法で共有


IKE/AuthIP の除外

インターネット プロトコル セキュリティ (IPsec) キー モジュール、インターネット キー交換 (IKE) および認証済みインターネット プロトコル (AuthIP) を機能させるには、ネットワーク トラフィックを IPsec フィルタリングから除外する必要があります。

Windows フィルター プラットフォーム (WFP) では、ベース フィルター エンジン (BFE) は、最初の IKE または AuthIP メイン モード (MM) ポリシー フィルターが追加されたときに IKE フィルターと AuthIP 除外フィルターを自動的に追加し、最後の IKE または AuthIP MM ポリシー フィルターが削除されたときにそれらを削除します。 これにより、ポリシー プロバイダーは IKE および AuthIP フィルタリング除外を個別に管理する必要はありません。

IKE MM ポリシー フィルターは、FWPM_IPSEC_IKE_MM_CONTEXT型のプロバイダー コンテキストを参照するエンジン レイヤー FWPM_LAYER_IKEEXT_V{4|6} のフィルターです。

AuthIP MM ポリシー フィルターは、FWPM_IPSEC_AUTHIP_MM_CONTEXT型のプロバイダー コンテキストを参照するエンジン レイヤー FWPM_LAYER_IKEEXT_V{4|6} のフィルターです。

IKE または AuthIP 除外フィルターは、エンジン レイヤー FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} または FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} の自動重み付け FWPM_WEIGHT_RANGE_IKE_EXEMPTIONSの重 み付けフィルターです。

BFE によって実装される IKE と AuthIP の除外は次のとおりです。

IP バージョン Port 除外
IPv4
UDP:500 UDP:4500
受信トランスポート 層と送信トランスポート 層で IKE および AuthIP トラフィックを許可します。
ALE の受信/受け入れおよび接続レイヤーで IKE および AuthIP トラフィックを許可しますが、ローカル システムに制限します。
IPv6
UDP:500
受信トランスポート 層と送信トランスポート 層で IKE および AuthIP トラフィックを許可します。
ALE の受信/受け入れおよび接続レイヤーで IKE および AuthIP トラフィックを許可しますが、ローカル システムに制限します。

IKE および AuthIP 除外フィルターは、すべてのアドレスで開かれています。 より詳細な制御を備えたファイアウォールを実装するには、ポリシー プロバイダーは、FWPM_WEIGHT_RANGE_IKE_EXEMPTIONSよりも高い重みの範囲でフィルター を追加する必要があります。

IPsec 構成

重み付けの割り当てのフィルター処理