IKE/AuthIP 豁免
網際網路通訊協定安全性 (IPsec) 金鑰模組、網際網路金鑰交換 (IKE) 和已驗證的網際網路通訊協定 (驗證網際網路通訊協定) ,才能運作,必須豁免其 IPsec 篩選的網路流量。
在 Windows 篩選平台中, () 基礎篩選引擎 (BFE) 會在第一個 IKE 或 AuthIP 主要模式 (MM) 原則篩選時自動新增 IKE 和 AuthIP 豁免篩選,並在刪除最後一個 IKE 或 AuthIP MM 原則篩選時刪除它們。 如此一來,原則提供者就不需要個別管理 IKE 和 AuthIP 篩選豁免。
IKE MM 原則篩選準則是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中參考類型 FWPM_IPSEC_IKE_MM_CONTEXT提供者內容的篩選。
AuthIP MM 原則篩選是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中 參考FWPM_IPSEC_AUTHIP_MM_CONTEXT類型的提供者內容篩選。
IKE 或 AuthIP 豁免篩選準則是引擎層 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 或 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} 自動加權 在FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 權數範圍內的篩選。
BFE 所實作的 IKE 和 AuthIP 豁免如下。
| IP 版本 | 連接埠 | 豁免 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將它限制為本機系統。 |
| IPv6 |
UDP:500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將它限制為本機系統。 |
IKE 和 AuthIP 豁免篩選準則會開放給所有位址。 若要實作更細微的控制防火牆,原則提供者應該在大於 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS的權數範圍中新增篩選。