IKE/AuthIP 豁免
Internet 协议安全性(IPsec)密钥模块、Internet 密钥交换(IKE)和经过身份验证的 Internet 协议(AuthIP)需要从 IPsec 筛选中免除其网络流量。
在 Windows 筛选平台(WFP)中,当添加第一个 IKE 或 AuthIP 主模式 (MM) 策略筛选器时,基本筛选引擎(BFE)会自动添加 IKE 和 AuthIP 豁免筛选器,并在删除最后一个 IKE 或 AuthIP MM 策略筛选器时将其删除。 这样,策略提供程序就不必单独管理 IKE 和 AuthIP 筛选豁免。
IKE MM 策略筛选器是引用 FWPM_IPSEC_IKE_MM_CONTEXT类型的提供程序上下文的引擎层 FWPM_LAYER_IKEEXT_V{4|6} 中的筛选器。
AuthIP MM 策略筛选器是引擎层 FWPM_LAYER_IKEEXT_V{4|6} 中引用 FWPM_IPSEC_AUTHIP_MM_CONTEXT类型的提供程序上下文的筛选器。
IKE 或 AuthIP 豁免筛选器是引擎层中的筛选器,FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 或 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 权重范围中的自动加权。
BFE 实现的 IKE 和 AuthIP 豁免如下所示。
| IP 版本 | 港口 | 豁免 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
允许入站传输层和出站传输层的 IKE 和 AuthIP 流量。 允许 ALE 接收/接受和连接层上的 IKE 和 AuthIP 流量,但将其限制为本地系统。 |
| IPv6 |
UDP:500 |
允许入站传输层和出站传输层的 IKE 和 AuthIP 流量。 允许 ALE 接收/接受和连接层上的 IKE 和 AuthIP 流量,但将其限制为本地系统。 |
IKE 和 AuthIP 豁免筛选器对所有地址开放。 若要实现具有更精细控制的防火墙,策略提供程序应在大于 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS的权重范围内添加筛选器。