Compartilhar via

Isenções de IKE/AuthIP

  • Artigo

Os módulos de chave de IPsec (internet protocol security), IKE (Internet Key Exchange) e AuthIP (Authenticated Internet Protocol), para funcionar, precisam isentar o tráfego de rede da filtragem IPsec.

Na Plataforma de Filtragem do Windows (WFP), o BFE (Mecanismo de Filtragem Base) adiciona automaticamente filtros de isenção de IKE e AuthIP quando o primeiro filtro de política do modo principal IKE ou AuthIP (MM) é adicionado e os exclui quando o último filtro de política do IKE ou do AuthIP MM é excluído. Dessa forma, os provedores de política não precisam gerenciar as isenções de filtragem de IKE e AuthIP individualmente.

Um filtro de política mm IKE é um filtro na camada do mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_IKE_MM_CONTEXT.

Um filtro de política MM AuthIP é um filtro na camada do mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.

Um filtro de isenção de IKE ou AuthIP é um filtro na camada do mecanismo FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ou FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} ponderado automaticamente na faixa de peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

As isenções de IKE e AuthIP implementadas pela BFE são as seguintes.

Versão do IP Porta Isenção
IPv4
 UDP:500 UDP:4500
 Permitir o tráfego IKE e AuthIP na camada de transporte de entrada e na camada de transporte de saída.
Permita o tráfego IKE e AuthIP nas camadas de recebimento/aceitação e conexão do ALE, mas restrinja-o ao sistema local.
IPv6
 UDP:500
 Permitir o tráfego IKE e AuthIP na camada de transporte de entrada e na camada de transporte de saída.
Permita o tráfego IKE e AuthIP nas camadas de recebimento/aceitação e conexão do ALE, mas restrinja-o ao sistema local.

Os filtros de isenção de IKE e AuthIP estão abertos a todos os endereços. Para implementar um firewall com controle mais granular, os provedores de política devem adicionar filtros em um intervalo de peso maior que FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

de Configuração do IPsec

filtrar de atribuição de peso