Pengecualian IKE/AuthIP
Modul kunci Keamanan Protokol Internet (IPsec), Internet Key Exchange (IKE) dan Authenticated Internet Protocol (AuthIP), untuk berfungsi, perlu mengecualikan lalu lintas jaringan mereka dari pemfilteran IPsec.
Di Windows Filtering Platform (WFP) Mesin Pemfilteran Dasar (BFE) secara otomatis menambahkan filter pengecualian IKE dan AuthIP ketika filter kebijakan mode utama IKE atau AuthIP (MM) pertama ditambahkan dan menghapusnya ketika filter kebijakan IKE atau AuthIP MM terakhir dihapus. Dengan cara ini, penyedia kebijakan tidak perlu mengelola pengecualian pemfilteran IKE dan AuthIP satu per satu.
Filter kebijakan MM IKE adalah filter di lapisan mesin FWPM_LAYER_IKEEXT_V{4|6} yang mereferensikan konteks penyedia jenis FWPM_IPSEC_IKE_MM_CONTEXT.
Filter kebijakan AuthIP MM adalah filter di lapisan mesin FWPM_LAYER_IKEEXT_V{4|6} yang mereferensikan konteks penyedia jenis FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Filter pengecualian IKE atau AuthIP adalah filter di lapisan mesin FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} atau FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} bobot otomatis dalam rentang berat FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.
Pengecualian IKE dan AuthIP yang diterapkan oleh BFE adalah sebagai berikut.
| Versi IP | Pelabuhan | Pembebasan |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Izinkan lalu lintas IKE dan AuthIP di lapisan transportasi masuk dan pada lapisan transportasi keluar. Izinkan lalu lintas IKE dan AuthIP di lapisan penerima/terima dan sambungkan ALE, tetapi batasi ke sistem lokal. |
| IPv6 |
UDP:500 |
Izinkan lalu lintas IKE dan AuthIP di lapisan transportasi masuk dan pada lapisan transportasi keluar. Izinkan lalu lintas IKE dan AuthIP di lapisan penerima/terima dan sambungkan ALE, tetapi batasi ke sistem lokal. |
Filter pengecualian IKE dan AuthIP terbuka untuk semua alamat. Untuk menerapkan firewall dengan kontrol yang lebih terperinci, penyedia kebijakan harus menambahkan filter dalam rentang berat yang lebih tinggi dari FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.