Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Filtry zainstalowane w warstwach wymuszania warstwy aplikacji (ALE) platformy filtrowania systemu Windows (WFP) wykonują stanowe filtrowanie sieci. przepływ ALE jest używany jako podstawa filtrowania stanowego ALE.
Przepływ ALE to sposób klasyfikowania ruchu sieciowego przez grupowanie go na podstawie źródłowego adresu IP, docelowego adresu IP, portu źródłowego, portu docelowego i protokołu. Przepływ ALE może mieć charakter ogólny, co oznacza, że co najmniej jeden z deskryptorów może odpowiadać wszystkim (lub stosować symbol wieloznaczności *). Na przykład ogólny przepływ ALE UDP zostanie opisany jako źródłowy adres IP = *, docelowy adres IP = *, port źródłowy = *, port docelowy = *, i protokół = UDP.
Po autoryzacji połączenia (połączenia przychodzące są autoryzowane na warstwie FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, a połączenia wychodzące na warstwie FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}), tworzony jest przepływ ALE, tak że, z wyjątkiem zmiany zasad, wszystkie pakiety, przychodzące i wychodzące, które należą do tego samego przepływu ALE, są dozwolone automatycznie. Ponieważ zmiana zasad może wymagać blokowania wcześniej dozwolonych połączeń, przepływy ALE muszą być ponownie uwierzytelnione po zmianie zasad.
Filtrowanie stanowe ALE znacznie zmniejsza liczbę wymaganych klasyfikacji, klasyfikując tylko pierwszy pakiet należący do przepływu ALE. Dla porównania filtrowanie niestanowe wymaga klasyfikacji każdego pakietu przechodzącego przez sieć.
Przepływ ALE ma skojarzony kierunek, który jest kierunkiem pierwszego pakietu przepływu. Dzięki temu można uzyskać bardziej elastyczne zasady, zezwalając na połączenia inicjowane przez ruch przychodzący, aby miały inne zasady niż połączenia inicjowane przez ruch wychodzący.
Przepływ TCP ALE
Przepływ ALE dla ruchu TCP jest identyfikowany przez pięciokrotkę protokołu TCP/IP (źródłowy adres IP, docelowy adres IP, port źródłowy, port docelowy i protokół).
Przepływ TCP ALE ma taki sam okres istnienia jak połączone gniazdo TCP. Połączone gniazdo TCP może być gniazdem utworzonym przy użyciuconnect() lub gniazda utworzonego w wyniku wywołaniaaccept().
ALE utrzymuje relację jeden do jednego między przepływem ALE TCP a blokiem sterowania TCP (TCB).
Przepływ UDP ALE
Notatka
Protokoły, które nie są tcp lub ICMP, są traktowane jak UDP.
Przepływ ALE dla ruchu UDP jest identyfikowany przez pięciokrotkę protokołu TCP/IP (adres źródłowy IP, adres docelowy IP, port źródłowy, port docelowy i protokół).
Przepływ UDP ALE jest tworzony na podstawie gniazda UDP i reprezentuje zdalny węzeł, z którym aplikacja się komunikuje. Zdalny element równorzędny jest identyfikowany przez krotkę (docelowy adres IP i port docelowy).
Istnieje relacja jeden do wielu między gniazdem UDP a zdalnymi peerami, z którymi się komunikuje.
Po zamknięciu lokalnego gniazda UDP wszystkie skojarzone z nim przepływy ALE zostaną usunięte.
W przypadku braku zamknięcia złączy, jednokierunkowe przepływy UDP ALE mają konfigurowalny okres bezczynności, który domyślnie wynosi 60 sekund. Jeśli w tym oknie nie są wysyłane lub odbierane żadne pakiety, przepływ ALE zostanie usunięty. Ten domyślny limit czasu jest stopniowo skracany, gdy liczba przepływów ALE w całym systemie osiągnie określony próg.
Przepływ ICMP ALE
Przepływ ALE dla ruchu ICMP jest identyfikowany przez sześciokrotkę (źródłowy adres IP, docelowy adres IP, typ ICMP, kod ICMP, protokół i identyfikator ICMP). Identyfikator ICMP jest częścią przepływu ALE tylko w przypadku ruchu echa/odpowiedzi ICMP.
Przy braku zamknięcia gniazd przepływy ICMP ALE unicast mają konfigurowalny limit czasu bezczynności, który domyślnie wynosi 60 sekund. Jeśli w tym oknie nie są wysyłane lub odbierane żadne pakiety, przepływ ALE zostanie usunięty. Ten domyślny limit czasu jest stopniowo skracany, gdy liczba przepływów ALE w całym systemie osiągnie określony próg.
Dopiero komunikaty ICMP niebędące błędami są przekazywane do warstw ALE. Komunikaty o błędach protokołu ICMP można sprawdzić w warstwach ICMP_ERROR.
Tematy pokrewne