Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O tráfego de rede nas camadas ALE (Application Layer Enforcement) da Plataforma de Filtragem do Windows (WFP) é filtrado por fluxos ALE . Uma vez que um fluxo ALE tenha sido permitido, todo o tráfego que faz parte do fluxo ALE é permitido. Reautorização é uma solicitação para validar as permissões do fluxo ALE, normalmente devido a uma alteração na diretiva de rede.
Os fluxos ALE recebem uma direção, de entrada ou saída, com base na direção do primeiro pacote que desencadeou a criação e autorização do fluxo. Os fluxos ALE de entrada são criados e autorizados na camadaFWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}. Os fluxos ALE de saída são criados e autorizados na camada FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}. A direção do fluxo ALE não limita a direção dos pacotes que pertencem ao fluxo. Os fluxos ALE contêm pacotes de entrada e saída, independentemente da direção do fluxo ALE em si.
A reautorização de um fluxo ALE é desencadeada por:
- Uma alteração de política na camada onde o fluxo ALE foi originalmente autorizado ou criado.
- Uma interface de chegada diferente da interface onde o fluxo ALE foi originalmente autorizado ou criado.
- Uma conexão pendente.
A reautorização distingue-se da autorização inicial pela presença da bandeira FWP_CONDITION_FLAG_IS_REAUTHORIZE.
A reautorização só pode ocorrer nas camadas FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}.
Reautorização de alteração de política
Uma alteração de política é implementada como uma adição ou remoção de filtro em uma camada ALE. Assim que uma alteração de política for detetada, o primeiro pacote que atravessar um fluxo ALE criado na camada afetada será especificado para reautorização para a camada. Portanto, para reautorização, é totalmente possível que um pacote de saída seja classificado na camadaFWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e que um pacote de entrada seja classificado na camada FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}.
Uma razão para essa classificação de direção mista é que pode não haver mais tráfego de rede da direção original (por exemplo, pacote de entrada para fluxo ALE de entrada). Um desses exemplos é o streaming UDP unidirecional após um aperto de mão bidirecional inicial. Neste caso, é mais desejável derrubar o streaming o mais rápido possível.
Reautorização da interface de chegada
A reautorização da interface de chegada está disponível a partir do Windows Server 2008 e do Windows Vista com Service Pack 1 (SP1).
Os pacotes pertencentes ao mesmo fluxo ALE podem chegar de várias interfaces. O primeiro pacote a chegar através de uma interface diferente da interface original do fluxo ALE é reautorizado.
Em um modelo de host forte, que é o modelo de segurança padrão para a pilha TCP/IP, uma conexão em uma interface de rede aceita apenas pacotes que vêm na mesma interface. Portanto, a reautorização da interface de chegada não é usada em um computador host forte.
Em um modelo de host fraco, uma conexão em uma interface de rede permite a entrada de pacotes em qualquer outra interface de rede. A reautorização da interface de chegada é usada em um computador host fraco para implementar políticas específicas da interface. Para obter mais informações, consulte "The Cable Guy: Strong and Weak Host Models" (O cara do cabo: modelos de host fortes e fracos).
Alguns campos classificáveis podem ser desconhecidos durante a reautorização. Por exemplo, se um pacote de saída estiver sendo reautorizado na camada dedoFWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, todos os campos pertencentes à interface de chegada serão desconhecidos. Nesse caso, os valores dos campos desconhecidos são indicados como FWP_EMPTY.
Os campos do tipo FWP_EMPTY podem ser combinados com FWP_MATCH_EQUAL. Portanto, uma política pode ser definida para bloquear reautorizações e derrubar um fluxo ALE quando as solicitações de reautorização para o fluxo ALE chegarem.
Reautorização de conexão pendente
Um driver de texto explicativo pode adiar uma operação de classificação em camadas ALE e concluí-la posteriormente, quando a decisão de filtragem puder ser tomada com segurança. A funcionalidade ALE adiar/completar é suportada através das funções de modo kernel FwpsPendOperation0 e FwpsCompleteOperation0.
A reautorização é acionada imediatamente após a chamada FwpsCompleteOperation0 e permite que o driver de texto explicativo permita ou bloqueie o fluxo.
Apenas uma autorização inicial pode ser adiada. Uma chamada para FwpsPendOperation0 falhará se FWP_CONDITION_FLAG_IS_REAUTHORIZE sinalizador estiver definido.
Para obter mais informações, consulte a documentação do Windows Driver Kit.
Tópicos relacionados