Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Moduły kluczy Zabezpieczeń protokołu internetowego (IPsec), Internet Key Exchange (IKE) i Uwierzytelniony protokół internetowy (AuthIP), aby działały, muszą wykluczyć ruch sieciowy z filtrowania protokołu IPsec.
W przypadku platformy filtrowania systemu Windows (WFP) aparat filtrowania podstawowego (BFE) automatycznie dodaje filtry wykluczania IKE i AuthIP po dodaniu pierwszego filtru zasad trybu głównego IKE lub AuthIP (MM) i usuwa je po usunięciu ostatniego filtru zasad IKE lub AuthIP MM. W ten sposób dostawcy zasad nie muszą indywidualnie zarządzać wyjątkami filtrowania IKE i AuthIP.
Filtr zasad IKE MM jest filtrem w warstwie aparatu FWPM_LAYER_IKEEXT_V{4|6}, który odwołuje się do kontekstu dostawcy typu FWPM_IPSEC_IKE_MM_CONTEXT.
Filtr zasad AuthIP MM jest filtrem w warstwie aparatu FWPM_LAYER_IKEEXT_V{4|6}, który odwołuje się do kontekstu dostawcy typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Filtr wykluczania IKE lub AuthIP jest filtrem w warstwie aparatu FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} lub FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} automatycznie ważone w zakresie wagi FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.
Wyjątki IKE i AuthIP zaimplementowane przez protokół BFE są następujące.
| Wersja adresu IP | Port | Zwolnienie |
|---|---|---|
| Protokół IPv4 |
UDP:500 UDP:4500 |
Zezwól na ruch IKE i AuthIP w warstwie transportu przychodzącego oraz w warstwie transportu wychodzącego. Zezwól na ruch IKE i AuthIP w warstwach odbierania/akceptowania/akceptowania i łączenia, ale ogranicz go do systemu lokalnego. |
| Protokół IPv6 |
UDP:500 |
Zezwól na ruch IKE i AuthIP w warstwie transportu przychodzącego oraz w warstwie transportu wychodzącego. Zezwól na ruch IKE i AuthIP w warstwach odbierania/akceptowania/akceptowania i łączenia, ale ogranicz go do systemu lokalnego. |
Filtry wykluczania IKE i AuthIP są otwarte dla wszystkich adresów. Aby zaimplementować zaporę z bardziej szczegółową kontrolą, dostawcy zasad powinni dodać filtry w zakresie wagi wyższym niż FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.