Freigeben über


ALE Reauthorization

Netzwerkdatenverkehr auf den ALE-Ebenen (Application Layer Enforcement) der Windows-Filterplattform (WFP) wird nach ALE-Flüssengefiltert. Sobald ein ALE-Fluss zulässig ist, ist der gesamte Datenverkehr, der Teil des ALE-Flusses ist, zulässig. Die erneute Dokumenterstellung ist eine Anforderung zum Überprüfen der Berechtigungen des ALE-Flusses, in der Regel aufgrund einer Änderung der Netzwerkrichtlinie.

ALE-Flüssen werden basierend auf der Richtung des ersten Pakets, das die Erstellung und Autorisierung des Flusses ausgelöst hat, eine Richtung, ein- oder ausgehend zugewiesen. Eingehende ALE-Flüsse werden auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} Ebene erstellt und autorisiert. Ausgehende ALE-Flüsse werden auf der FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} Ebene erstellt und autorisiert. Die Richtung des ALE-Flusses beschränkt nicht die Richtung von Paketen, die zum Fluss gehören. ALE-Flüsse enthalten sowohl eingehende als auch ausgehende Pakete, unabhängig von der Richtung des ALE-Flusses selbst.

Die erneute Dokumenterstellung eines ALE-Flusses wird ausgelöst durch:

  • Eine Richtlinienänderung auf der Ebene, auf der der ALE-Fluss ursprünglich autorisiert oder erstellt wurde.
  • Eine Ankunftsschnittstelle, die sich von der Schnittstelle unterscheidet, in der der ALE-Fluss ursprünglich autorisiert oder erstellt wurde.
  • Eine ausstehende Verbindung.

Die erneute Dokumenterstellung unterscheidet sich von der anfänglichen Autorisierung durch das Vorhandensein des FWP_CONDITION_FLAG_IS_REAUTHORIZE Flags.

Die erneute Dokumenterstellung kann nur auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}- und FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}- Ebenen erfolgen.

Erneute Dokumenterstellung durch Richtlinienänderung

Eine Richtlinienänderung wird als Filterzugabe oder Entfernung auf einer ALE-Ebene implementiert. Sobald eine Richtlinienänderung erkannt wurde, wird das erste Paket, das einen auf der betroffenen Ebene erstellten ALE-Fluss durchläuft, für die erneute Dokumenterstellung auf der Ebene angegeben. Daher ist es für die erneute Dokumenterstellung völlig möglich, dass ein ausgehendes Paket auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} Ebene klassifiziert wird und dass ein eingehendes Paket auf der FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} Ebene klassifiziert wird.

Ein Grund für diese Gemischte Klassifizierung ist, dass möglicherweise kein weiterer Netzwerkdatenverkehr aus der ursprünglichen Richtung vorhanden ist (z. B. eingehendes Paket für eingehendeN ALE-Fluss). Ein solches Beispiel ist ein unidirektionales UDP-Streaming nach einem anfänglichen bidirektionalem Handshake. In diesem Fall ist es wünschenswert, das Streaming so schnell wie möglich zu zerreißen.

Neuautorisierung der Ankunftsschnittstelle

Die Neuautorisierung der Ankunftsschnittstelle ist ab Windows Server 2008 und Windows Vista mit Service Pack 1 (SP1) verfügbar.

Pakete, die zum gleichen ALE-Fluss gehören, können von mehreren Schnittstellen stammen. Das erste Paket, das sich von der ursprünglichen Schnittstelle des ALE-Flusses unterscheidet, wird erneut autorisiert.

Bei einem starken Hostmodell, bei dem es sich um das Standardsicherheitsmodell für den TCP/IP-Stapel handelt, akzeptiert eine Verbindung auf einer Netzwerkschnittstelle nur Pakete, die auf derselben Schnittstelle enthalten sind. Daher wird die Erneute Dokumenterstellung der Ankunftsschnittstelle nicht auf einem starken Hostcomputer verwendet.

In einem schwachen Hostmodell ermöglicht eine Verbindung über eine Netzwerkschnittstelle Pakete, die auf einer anderen Netzwerkschnittstelle verfügbar sind. Die Neuautorisierung der Ankunftsschnittstelle wird auf einem schwachen Hostcomputer verwendet, um schnittstellenspezifische Richtlinien zu implementieren. Weitere Informationen finden Sie unter "The Cable Guy: Strong and Weak Host Models".

Einige klassifizierbaren Felder während der erneuten Dokumenterstellung möglicherweise unbekannt sind. Wenn beispielsweise ein ausgehendes Paket bei der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} Ebene erneut autorisiert wird, sind alle Felder, die sich auf die Ankunftsschnittstelle beziehen, unbekannt. In diesem Fall werden die Werte der unbekannten Felder als FWP_EMPTYangegeben.

Felder vom Typ FWP_EMPTY können mit FWP_MATCH_EQUALabgeglichen werden. Daher kann eine Richtlinie so festgelegt werden, dass die erneute Dokumenterstellung blockiert und ein ALE-Fluss heruntergerissen wird, wenn erneut ALE-Anforderungen für den ALE-Fluss eingehen.

Erneute Dokumenterstellung für ausstehende Verbindungen

Ein Popuptreiber kann einen Klassifizierungsvorgang auf ALE-Ebenen verschieben und zu einem späteren Zeitpunkt abschließen, wenn die Filterentscheidung sicher getroffen werden kann. Die ALE-Funktion wird über die Kernelmodusfunktionen FwpsPendOperation0 und FwpsCompleteOperation0unterstützt.

Die erneute Dokumenterstellung wird unmittelbar nach dem FwpsCompleteOperation0-Aufruf ausgelöst und ermöglicht es dem Popuptreiber, den Fluss zuzulassen oder zu blockieren.

Nur eine erstautorisierung kann verschoben werden. Ein Aufruf von FwpsPendOperation0 schlägt fehl, wenn FWP_CONDITION_FLAG_IS_REAUTHORIZE Flag festgelegt ist.

Weitere Informationen finden Sie in der dokumentation Windows Driver Kit.

Application Layer Enforcement (ALE)

ALE-Ebenen

ALE Stateful Filtering

ALE Multicast/Broadcast Traffic

Anpassung des ALE-Flusses