Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’Application Layer Enforcement (ALE) se compose de plusieurs couches de filtrage et de nombreuses couches d’abandon correspondantes. Toutes les couches de moteur de filtrage de la plateforme de filtrage Windows (PAM), y compris ALE, sont décrites dans identificateurs de couche de filtrage. Cette rubrique contient une description plus détaillée des couches de filtrage qui font partie d’ALE.
RESOURCE_ASSIGNMENT
Un filtre au niveau FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V{4|6} couche est mis en correspondance pour les opérations de liaison réseau, explicites ou implicites.
Si un filtre à cette couche est mis en correspondance pour autoriser la création du socket brut, l’indicateur de FWP_CONDITION_FLAG_IS_RAW_ENDPOINT est défini.
Si un filtre à cette couche est mis en correspondance pour autoriser la réception en mode promiscue, le champ FWP_CONDITION_ALE_PROMISCUOUS_MODE est défini sur SIO_RCVALL. Pour obtenir une description de SIO_RCVALL, consultez WSAIoctl .
Note
Il s’agit de la seule couche où le mode promiscuique peut être filtré.
Si aucun port n’est spécifié pendant liaison(), autrement dit, le port est défini sur 0 (zéro), la pile TCP/IP sélectionne un port dans la plage de ports dynamiques (19152-65535). Le port sélectionné sera classé à cette couche avec l’indicateur de FWP_CONDITION_FLAG_IS_WILDCARD_BIND.
Si l’adresse locale n’est pas spécifiée dans l’appel bind(), le champ d’adresse locale est défini sur FWP_EMPTY.
AUTH_LISTEN
Un filtre au niveau de la coucheFWPM_LAYER_ALE_AUTH_LISTEN_V{4|6} est mis en correspondance pour les appelsd’écoute TCP.
AUTH_RECV_ACCEPT
Un filtre au niveau de la couche FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} est mis en correspondance pour les appels TCP accept(), pour les premiers paquets UDP (monodiffusion) à partir d’un tuple d’adresse/de port distant unique, et pour les messages ICMP entrants (unidiffusion) avec un type ICMP, un code et un ID uniques.
Note
Les protocoles qui ne sont pas TCP ou ICMP sont traités comme UDP.
Les paquets TCP reçus par des sockets bruts sont gérés de la même façon que le trafic UDP. Autrement dit, seul le premiertcpsend() et le premierTCPrecv() sur les sockets bruts sera filtré.
AUTH_CONNECT
Un filtre au niveau de la couche FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} est mis en correspondance pour les appels TCP connect(), pour les premiers paquets UDP envoyés à une adresse distante unique et un tuple de port, et pour les premiers messages ICMP sortants sans erreur avec un type ICMP, un code et un ID uniques.
Note
Les protocoles qui ne sont pas TCP ou ICMP sont traités comme UDP.
Les paquets TCP envoyés par des sockets bruts sont gérés de la même façon que le trafic UDP. Autrement dit, seul le premiertcpsend() et le premierTCPrecv() sur les sockets bruts sera filtré.
FLOW_ESTABLISHED
Un filtre à l'FWPM_LAYER_ALE_FLOW_ESTABLISHED_V{4|6} couche est mis en correspondance une fois qu’une négociation TCP tridirectionnel s’est terminée. Pour le trafic non TCP, le filtre est mis en correspondance immédiatement après les filtres de AUTH_RECV_ACCEPT ou de couches AUTH_CONNECT.
Un filtre à cette couche ne doit pas retourner bloc ou autorisation.
Cette couche est utilisée par les pilotes de légende pour suivre l’état de connexion, décrite en détail dans la documentation kit de pilotes Windows.
RESOURCE_RELEASE
Un filtre au niveau FWPM_LAYER_ALE_RESOURCE_RELEASE_V{4|6} couche est mis en correspondance après que les ressources allouées via RESOURCE_ASSIGNMENT ont été libérées.
ENDPOINT_CLOSURE
Un filtre au niveau du FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V{4|6} couche est mis en correspondance lorsqu’un point de terminaison de sockets TCP ou TCP connecté est fermé.
CONNECT_REDIRECT
Un filtre au niveau de la couche FWPM_LAYER_ALE_CONNECT_REDIRECT_V{4|6} permet de modifier les adresses et ports distants. La connexion sortante est redirigée pendant la durée de cette connexion.
BIND_REDIRECT
Un filtre sur la couche FWPM_LAYER_ALE_BIND_REDIRECT_V{4|6} permet de modifier l’adresse et les ports locaux du socket sous-jacent. Le socket local sera redirigé pour la durée de vie du socket
Couches ALE DISCARD
Pour chacune des couches ALE décrites ci-dessus, le moteur de filtrage contient une couche d’abandon correspondante. Les couches d’abandon ALE sont utilisées par les légendes à des fins de journalisation. Les paquets et les indications qui ont été ignorés à l’une des couches de filtrage ALE sont indiqués à la couche d’abandon ALE correspondante.
Rubriques connexes
-
multidiffusion ALE/ de trafic de diffusion
-
conditions de filtrage disponibles à chaque de couche de filtrage