Исключения IKE/AuthIP
Модули ключей IPsec( IPsec), обмен ключами Интернета (IKE) и протокол AuthIP, чтобы функционировать, должны исключить сетевой трафик из фильтрации IPsec.
На платформе фильтрации Windows (МПП) базовая подсистема фильтрации (BFE) автоматически добавляет фильтры исключений IKE и AuthIP при добавлении первого фильтра политики IKE или AuthIP main режиме (MM) и удаляет их при удалении последнего фильтра политики IKE или AuthIP MM. Таким образом, поставщикам политик не нужно управлять исключениями фильтрации IKE и AuthIP по отдельности.
Фильтр политики IKE MM — это фильтр на уровне подсистемы FWPM_LAYER_IKEEXT_V{4|6} , который ссылается на контекст поставщика типа FWPM_IPSEC_IKE_MM_CONTEXT.
Фильтр политики AuthIP MM — это фильтр на уровне подсистемы FWPM_LAYER_IKEEXT_V{4|6} , который ссылается на контекст поставщика типа FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Фильтр исключений IKE или AuthIP — это фильтр на уровне подсистемы FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} или FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} с автоматическим взвешиванием в FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS диапазоне веса.
Исключения IKE и AuthIP, реализованные BFE, приведены ниже.
| Версия IP | Port | Исключение |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Разрешите трафик IKE и AuthIP на уровне входящего транспорта и на уровне исходящего транспорта. Разрешите трафик IKE и AuthIP на уровнях приема/принятия и подключения ALE, но ограничьте его локальной системой. |
| IPv6 |
UDP:500 |
Разрешите трафик IKE и AuthIP на уровне входящего транспорта и на уровне исходящего транспорта. Разрешите трафик IKE и AuthIP на уровнях приема/принятия и подключения ALE, но ограничьте его локальной системой. |
Фильтры исключений IKE и AuthIP открыты для всех адресов. Чтобы реализовать брандмауэр с более детальным контролем, поставщики политик должны добавлять фильтры в диапазоне весов выше FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.