Isenções IKE/AuthIP

Os módulos de chaveamento IPsec, Internet Key Exchange (IKE) e Authenticated Internet Protocol (AuthIP), para funcionar, precisam isentar seu tráfego de rede da filtragem IPsec.

Na Plataforma de Filtragem do Windows (WFP), o Mecanismo de Filtragem Base (BFE) adiciona automaticamente filtros de isenção IKE e AuthIP quando o primeiro filtro de diretiva IKE ou AuthIP modo principal (MM) é adicionado e os exclui quando o último filtro de diretiva IKE ou AuthIP MM é excluído. Dessa forma, os provedores de políticas não precisam gerenciar isenções de filtragem IKE e AuthIP individualmente.

Um filtro de política IKE MM é um filtro na camada de mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_IKE_MM_CONTEXT.

Um filtro de política AuthIP MM é um filtro na camada de mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.

Um filtro de isenção IKE ou AuthIP é um filtro na camada do motor FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ou FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} ponderado automaticamente na faixa de peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

As isenções IKE e AuthIP implementadas pela BFE são as seguintes.

Os filtros de isenção IKE e AuthIP estão abertos a todos os endereços. Para implementar um firewall com controle mais granular, os provedores de políticas devem adicionar filtros em uma faixa de peso superior a FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

Tópicos relacionados

de configuração IPsec

Atribuição de peso do filtro