Исключения IKE/AuthIP
Модули безопасности протокола Интернета (IPsec), модули ключей Интернета, Обмен ключами Интернета (IKE) и протокол AuthIP с проверкой подлинности (AuthIP), необходимо исключить сетевой трафик из фильтрации IPsec.
В платформе фильтрации Windows (МПП) базовый модуль фильтрации (BFE) автоматически добавляет фильтры исключений IKE и AuthIP при добавлении первого фильтра политики IKE или AuthIP (MM) и удаляет их при удалении последнего фильтра политики IKE или AuthIP MM. Таким образом, поставщикам политик не нужно управлять исключениями фильтрации IKE и AuthIP по отдельности.
Фильтр политики IKE MM — это фильтр на уровне ядра FWPM_LAYER_IKEEXT_V{4|6}, который ссылается на контекст поставщика типа FWPM_IPSEC_IKE_MM_CONTEXT.
Фильтр политики authIP MM — это фильтр на уровне ядра FWPM_LAYER_IKEEXT_V{4|6}, который ссылается на контекст поставщика типа FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Фильтр исключения IKE или AuthIP — это фильтр в FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} или FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} автовзвешен в диапазоне весов FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.
Исключения IKE и AuthIP, реализованные BFE, приведены ниже.
| IP-версия | Порт | Освобождение |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Разрешение трафика IKE и AuthIP на уровне входящего транспорта и на уровне исходящего транспорта. Разрешить трафик IKE и AuthIP на уровне получения и приема и подключения ALE, но ограничить его локальной системой. |
| IPv6 |
UDP:500 |
Разрешение трафика IKE и AuthIP на уровне входящего транспорта и на уровне исходящего транспорта. Разрешить трафик IKE и AuthIP на уровне получения и приема и подключения ALE, но ограничить его локальной системой. |
Фильтры исключения IKE и AuthIP открыты для всех адресов. Чтобы реализовать брандмауэр с более подробным контролем, поставщики политик должны добавлять фильтры в диапазон весов выше FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.