IKE/AuthIP の除外
インターネット プロトコル セキュリティ (IPsec) キー モジュール、インターネット キー 交換 (IKE) および認証済みインターネット プロトコル (AuthIP) が機能するためには、IPsec フィルタリングからネットワーク トラフィックを除外する必要があります。
Windows フィルター プラットフォーム (WFP) では、最初の IKE または AuthIP メイン モード (MM) ポリシー フィルターが追加されたときに、ベース フィルター エンジン (BFE) によって IKE と AuthIP の除外フィルターが自動的に追加され、最後の IKE または AuthIP MM ポリシー フィルターが削除されたときに削除されます。 これにより、ポリシー プロバイダーは IKE と AuthIP フィルタリングの除外を個別に管理する必要はありません。
IKE MM ポリシー フィルターは、FWPM_IPSEC_IKE_MM_CONTEXT型のプロバイダー コンテキストを参照するエンジン レイヤー FWPM_LAYER_IKEEXT_V{4|6} のフィルターです。
AuthIP MM ポリシー フィルターは、FWPM_IPSEC_AUTHIP_MM_CONTEXT型のプロバイダー コンテキストを参照するエンジン レイヤー FWPM_LAYER_IKEEXT_V{4|6} のフィルターです。
IKE または AuthIP 除外フィルターは、エンジン レイヤー FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} のフィルターまたは FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}、FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS の重みの範囲で自動加重されます。
BFE によって実装される IKE と AuthIP の除外は次のとおりです。
| IP バージョン | 港 | 免除 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
受信トランスポート層と送信トランスポート層で IKE および AuthIP トラフィックを許可します。 ALE で IKE トラフィックと AuthIP トラフィックを許可し、レイヤーを受信/受け入れて接続しますが、ローカル システムに制限します。 |
| IPv6 |
UDP:500 |
受信トランスポート層と送信トランスポート層で IKE および AuthIP トラフィックを許可します。 ALE で IKE トラフィックと AuthIP トラフィックを許可し、レイヤーを受信/受け入れて接続しますが、ローカル システムに制限します。 |
IKE および AuthIP 除外フィルターは、すべてのアドレスに対して開かれています。 より細かく制御できるファイアウォールを実装するには、ポリシー プロバイダーは、FWPM_WEIGHT_RANGE_IKE_EXEMPTIONSより高い重みの範囲でフィルターを追加する必要があります。
関連トピック
-
IPsec 構成 の