Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os filtros instalados nas camadas ALE (Application Layer Enforcement) da Plataforma de Filtragem do Windows (WFP) executam filtragem de rede com monitoração de estado. Um fluxo ALE é usado como base para a filtragem com estado ALE.
Um fluxo ALE é uma maneira de classificar o tráfego de rede agrupando-o com base em um Endereço IP de Origem, um Endereço IP de Destino, uma Porta de Origem, uma Porta de Destino e um Protocolo. Um fluxo ALE pode ser genérico, ou seja, um ou mais dos descritores podem corresponder a tudo (ou caracter universal *). Por exemplo, um fluxo UDP ALE genérico seria descrito como Endereço IP de Origem = *, Endereço IP de Destino = *, Porta de Origem = *, Porta de Destino = * e Protocolo = UDP.
Uma vez autorizada uma conexão (conexões entrantes são autorizadas na camada FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e conexões de saídas na camada FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}), um fluxo ALE é criado de tal forma que, exceto em caso de alteração de política, todos os pacotes, entrantes e saídas, que pertencem ao mesmo fluxo ALE são automaticamente permitidos. Como uma alteração de política pode exigir o bloqueio de conexões permitidas anteriormente, os fluxos ALE precisam ser reautorizados quando ocorrer uma alteração de política.
A filtragem com estado ALE reduz drasticamente o número de classificações necessárias, classificando apenas o primeiro pacote que pertence a um fluxo ALE. Em comparação, a filtragem sem monitoração de estado requer a classificação de todos os pacotes que atravessam a rede.
Um fluxo ALE tem uma direção associada, que é a direção do primeiro pacote do fluxo. Isso permite políticas mais flexíveis, permitindo que as conexões iniciadas de entrada tenham políticas diferentes das conexões iniciadas de saída.
Fluxo TCP ALE
Um fluxo ALE para tráfego TCP é identificado pelas cinco tuplas de TCP/IP (Endereço IP de Origem, Endereço IP de Destino, Porta de Origem, Porta de Destino e Protocolo).
Um fluxo TCP ALE tem o mesmo tempo de vida que um soquete TCP conectado. Um soquete TCP conectado pode ser um soquete criado usando connect() ou um soquete criado como resultado de uma chamadaaccept().
ALE mantém uma relação um-para-um entre um fluxo TCP ALE e um TCP Control Block (TCB).
Fluxo UDP ALE
Observação
Os protocolos que não são TCP ou ICMP são tratados como UDP.
Um fluxo ALE para tráfego UDP é identificado pelas cinco tuplas de TCP/IP (Endereço IP de Origem, Endereço IP de Destino, Porta de Origem, Porta de Destino e Protocolo).
Um fluxo UDP ALE é criado com base em um soquete UDP e representa o peer remoto com o qual o aplicativo está se comunicando. Um dispositivo remoto é identificado por uma tupla (Endereço IP de Destino e Porta de Destino).
Há uma relação um-para-muitos entre um socket UDP e os pares remotos com os quais ele se comunica.
Quando o soquete UDP local é fechado, todos os fluxos ALE associados a ele serão excluídos.
Na ausência de fechamentos de soquete, os fluxos ALE unicast UDP têm um tempo limite de inatividade configurável que o padrão é de 60 segundos. Se nenhum pacote for enviado ou recebido nesta janela, o fluxo ALE será excluído. Esse tempo limite padrão é progressivamente reduzido quando o número de fluxos ALE em todo o sistema atinge um determinado limite.
Fluxo ICMP ALE
Um fluxo ALE para o tráfego ICMP é identificado pelas seis tuplas (Endereço IP de origem, Endereço IP de destino, Tipo ICMP, Código ICMP, Protocolo e ID ICMP). O ID ICMP faz parte do fluxo ALE apenas para o tráfego de eco/resposta ICMP.
Na ausência de fechamentos de soquete, os fluxos ALE unicast ICMP têm um tempo limite de inatividade configurável que o padrão é de 60 segundos. Se nenhum pacote for enviado ou recebido nesta janela, o fluxo ALE será excluído. Esse tempo limite padrão é progressivamente reduzido quando o número de fluxos ALE em todo o sistema atinge um determinado limite.
Somente mensagens sem erro ICMP são indicadas para camadas ALE. As mensagens de erro ICMP podem ser inspecionadas nas camadas ICMP_ERROR.
Tópicos relacionados