因特網通訊協定安全性 (IPsec) 金鑰模組、因特網密鑰交換 (IKE) 和已驗證的因特網通訊協定 (AuthIP),才能運作,必須從 IPsec 篩選中豁免其網路流量。
在 Windows 篩選平臺 (WFP) 中,基底篩選引擎 (BFE) 會在第一個 IKE 或 AuthIP 主要模式 (MM) 原則篩選新增時自動新增 IKE 和 AuthIP 豁免篩選,並在刪除最後一個 IKE 或 AuthIP MM 原則篩選時刪除它們。 如此一來,原則提供者就不需要個別管理 IKE 和 AuthIP 篩選豁免。
IKE MM 原則篩選條件是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中參考類型提供者內容 FWPM_IPSEC_IKE_MM_CONTEXT的篩選條件。
AuthIP MM 原則篩選條件是引擎層 FWPM_LAYER_IKEEXT_V{4|6} 中的篩選,參考類型為 FWPM_IPSEC_AUTHIP_MM_CONTEXT的提供者內容。
IKE 或 AuthIP 豁免篩選條件是引擎層 FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} 或 FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 權數範圍內的自動加權篩選。
BFE 所實作的 IKE 和 AuthIP 豁免如下所示。
| IP 版本 | 港口 | 豁免 |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將其限製為本機系統。 |
| IPv6 |
UDP:500 |
允許輸入傳輸層和輸出傳輸層的 IKE 和 AuthIP 流量。 允許 ALE 接收/接受和連線層的 IKE 和 AuthIP 流量,但將其限製為本機系統。 |
IKE 和 AuthIP 豁免篩選器會開啟至所有位址。 若要實作具有更細微控制的防火牆,原則提供者應該在大於 FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS的權數範圍中新增篩選。