Isenções de IKE/AuthIP

Os módulos de chave de IPsec (Internet Protocol Security), IKE (Internet Key Exchange) e AuthIP (Authenticated Internet Protocol), para funcionar, precisam isentar o tráfego de rede da filtragem IPsec.

No WFP (Windows Filtering Platform), o BFE (Mecanismo de Filtragem Base) adiciona automaticamente filtros de isenção de IKE e AuthIP quando o primeiro filtro de política do modo de main IKE ou AuthIP (MM) é adicionado e os exclui quando o último filtro de política IKE ou AuthIP MM é excluído. Dessa forma, os provedores de política não precisam gerenciar as isenções de filtragem de IKE e AuthIP individualmente.

Um filtro de política MM de IKE é um filtro na camada do mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_IKE_MM_CONTEXT.

Um filtro de política AuthIP MM é um filtro na camada do mecanismo FWPM_LAYER_IKEEXT_V{4|6} que faz referência a um contexto de provedor do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.

Um filtro de isenção de IKE ou AuthIP é um filtro na camada do mecanismo FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ou FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} ponderado automaticamente no intervalo de peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS .

As isenções de IKE e AuthIP implementadas pela BFE são as seguintes.

Os filtros de isenção IKE e AuthIP estão abertos a todos os endereços. Para implementar um firewall com controle mais granular, os provedores de política devem adicionar filtros em um intervalo de peso maior que FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.

Tópicos relacionados

Configuração do IPsec

Atribuição de peso de filtro