Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
ALE é um conjunto de camadas de modo kernel da Plataforma de Filtragem do Windows (WFP) que são usadas para filtragem com monitoração de estado.
A filtragem com estado controla o estado das conexões de rede e permite apenas pacotes que correspondam a um estado de conexão conhecido. Por exemplo, a filtragem com monitoração de estado para uma conexão TCP iniciada por trás de um firewall pode permitir apenas pacotes de entrada que correspondam a pacotes de saída anteriores enviados pela parte protegida.
Os filtros nas camadas ALE autorizam a criação de conexões de entrada e saída, atribuições de portas, operações de soquete, como listen(), criação de soquete bruto e recebimento de modo promíscuo.
O tráfego nas camadas ALE é classificado por conexão ou por operação de soquete. Em camadas não-ALE, os filtros só podem classificar o tráfego por pacote.
As camadas ALE são as únicas camadas WFP em que o tráfego de rede pode ser filtrado com base na identidade do aplicativo — usando um nome de arquivo normalizado — e com base na identidade do usuário — usando um descritor de segurança. (Consulte FLT_FILE_NAME_INFORMATION na documentação do Kit de Driver do Windows (WDK) para obter mais informações sobre nomes de arquivo normalizados.)
Além disso, quando o IPsec é usado para proteger a conexão, a filtragem nas camadas ALE também pode ser executada na identidade da máquina remota e na identidade do usuário remoto. A máquina remota e as identidades de usuário são obtidas a partir das credenciais usadas na criação de uma sessão IPsec.
Por esse motivo, as políticas que impõem quem (por exemplo, "administrador") e/ou qual aplicativo (por exemplo, "Internet Explorer") tem permissão para executar as operações de rede mencionadas acima são criadas nas camadas ALE.
ALE fornece imposição para políticas como "permitir que o Windows Messenger todo o acesso à rede enquanto bloqueia todos os outros aplicativos". Nesse exemplo, quando o aplicativo "Messenger" se conecta através da rede, ALE interceta o evento, determina que ele foi iniciado pelo Messenger e consulta o mecanismo de filtro WFP para determinar se o soquete deve ter permissão para continuar.
Observação
Devido à natureza dos soquetes dual-IP verdadeiros, as classificações na camada ALE IPv4 podem não ocorrer. Isso ocorre por design, porque para todos os efeitos, o soquete é um soquete IPv6. Para ver o tráfego V4 para esse soquete, crie filtros na camada V6 usando o endereço mapeado IPv6.
Tópicos relacionados