IKE/AuthIP-Ausnahmen

Die IPsec-Schlüsselmodule (Internet Protocol Security), Internet Key Exchange (IKE) und Authenticated Internet Protocol (AuthIP) müssen den Netzwerkdatenverkehr von der IPsec-Filterung ausgenommen werden.

In der Windows-Filterplattform (WFP) fügt das Basisfiltermodul (Base Filtering Engine, BFE) automatisch IKE- und AuthIP-Ausnahmefilter hinzu, wenn der erste IKE- oder AuthIP-Hauptmodus-Richtlinienfilter (MM) hinzugefügt und gelöscht wird, wenn der letzte IKE- oder AuthIP MM-Richtlinienfilter gelöscht wird. Auf diese Weise müssen die Richtlinienanbieter IKE- und AuthIP-Filterausnahmen nicht einzeln verwalten.

Ein IKE MM-Richtlinienfilter ist ein Filter auf der Modulebene FWPM_LAYER_IKEEXT_V{4|6}-, der auf einen Anbieterkontext vom Typ FWPM_IPSEC_IKE_MM_CONTEXTverweist.

Ein AuthIP MM-Richtlinienfilter ist ein Filter auf der Modulebene FWPM_LAYER_IKEEXT_V{4|6}-, der auf einen Anbieterkontext vom Typ FWPM_IPSEC_AUTHIP_MM_CONTEXTverweist.

Ein IKE- oder AuthIP-Ausnahmefilter ist ein Filter auf der Modulebene FWPM_LAYER_INBOUND_TRANSPORT_V{4|6}- oder FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} automatisch im FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Gewichtungsbereich gewichtet.

Die von BFE implementierten IKE- und AuthIP-Ausnahmen sind wie folgt.

Die IKE- und AuthIP-Ausnahmefilter sind für alle Adressen geöffnet. Um eine Firewall mit präziserer Kontrolle zu implementieren, sollten Richtlinienanbieter Filter in einem Gewichtsbereich hinzufügen, der höher als FWPM_WEIGHT_RANGE_IKE_EXEMPTIONSist.

Verwandte Themen

IPsec-Konfiguration

Filtergewichtungszuordnung