Freigeben über


Erneute ALE-Autorisierung

Netzwerkdatenverkehr auf den ALE-Ebenen (Application Layer Enforcement) der Windows Filtering Platform (WFP) wird nach ALE-Flows gefiltert. Sobald ein ALE-Flow zugelassen wurde, ist der gesamte Datenverkehr, der Teil des ALE-Flusses ist, zulässig. Die erneute Autorisierung ist eine Anforderung zum Überprüfen der Berechtigungen des ALE-Flusses, in der Regel aufgrund einer Änderung der Netzwerkrichtlinie.

ALE-Flows werden basierend auf der Richtung des ersten Pakets, das die Erstellung und Autorisierung des Flusses ausgelöst hat, eine Richtung zugewiesen, die ein- oder ausgehend ist. Eingehende ALE-Flows werden auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} -Ebene erstellt und autorisiert. Ausgehende ALE-Flows werden auf der FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} -Ebene erstellt und autorisiert. Die Richtung des ALE-Flusses schränkt die Richtung der Pakete, die zum Flow gehören, nicht ein. ALE-Flows enthalten sowohl eingehende als auch ausgehende Pakete unabhängig von der Richtung des ALE-Flusses selbst.

Die erneute Autorisierung eines ALE-Flows wird ausgelöst durch:

  • Eine Richtlinienänderung auf der Ebene, auf der der ALE-Fluss ursprünglich autorisiert oder erstellt wurde.
  • Eine Ankunftsschnittstelle, die sich von der Schnittstelle unterscheidet, in der der ALE-Flow ursprünglich autorisiert oder erstellt wurde.
  • Eine ausstehende Verbindung.

Die erneute Autorisierung unterscheidet sich von der anfänglichen Autorisierung durch das Vorhandensein des flags FWP_CONDITION_FLAG_IS_REAUTHORIZE .

Die erneute Autorisierung kann nur auf den Ebenen FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} und FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} erfolgen.

Neuautorisierung von Richtlinienänderungen

Eine Richtlinienänderung wird als Filterzugabe oder -entfernung auf einer ALE-Ebene implementiert. Sobald eine Richtlinienänderung erkannt wurde, wird das erste Paket, das einen auf der betroffenen Ebene erstellten ALE-Flow durchläuft, für die erneute Autorisierung auf der Ebene angegeben. Daher ist es für die erneute Autorisierung durchaus möglich, dass ein ausgehendes Paket auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}- Ebene klassifiziert wird und dass ein eingehendes Paket auf der FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}- Ebene klassifiziert wird.

Ein Grund für diese gemischte Richtungsklassifizierung ist, dass möglicherweise kein weiterer Netzwerkdatenverkehr aus der ursprünglichen Richtung vorhanden ist (z. B. eingehendes Paket für eingehenden ALE-Fluss). Ein Beispiel hierfür ist ein unidirektionales UDP-Streaming nach einem anfänglichen bidirektionalen Handshake. In diesem Fall ist es wünschenswerter, das Streaming so schnell wie möglich abreißen.

Erneute Autorisierung der Ankunftsschnittstelle

Die erneute Autorisierung der Ankunftsschnittstelle ist ab Windows Server 2008 und Windows Vista mit Service Pack 1 (SP1) verfügbar.

Pakete, die zum gleichen ALE-Flow gehören, können von mehreren Schnittstellen eintreffen. Das erste Paket, das über eine andere Schnittstelle als die ursprüngliche Schnittstelle des ALE-Flusses gesendet wird, wird neu authentifiziert.

In einem starken Hostmodell, dem Standardsicherheitsmodell für den TCP/IP-Stapel, akzeptiert eine Verbindung über eine Netzwerkschnittstelle nur Pakete, die auf derselben Schnittstelle enthalten sind. Daher wird die erneute Autorisierung der Ankunftsschnittstelle auf einem starken Hostcomputer nicht verwendet.

Bei einem schwachen Hostmodell lässt eine Verbindung über eine Netzwerkschnittstelle Pakete zu, die auf jeder anderen Netzwerkschnittstelle einkommen. Die erneute Autorisierung der Ankunftsschnittstelle wird auf einem schwachen Hostcomputer verwendet, um schnittstellenspezifische Richtlinien zu implementieren. Weitere Informationen finden Sie unter "The Cable Guy: Strong and Weak Host Models".

Einige klassifizierbare Felder sind möglicherweise während der erneuten Autorisierung unbekannt. Wenn beispielsweise ein ausgehendes Paket auf der FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} -Ebene neu authentifiziert wird, sind alle Felder, die sich auf die Ankunftsschnittstelle beziehen, unbekannt. In diesem Fall werden die Werte der unbekannten Felder als FWP_EMPTY angegeben.

Felder vom Typ FWP_EMPTY können mit FWP_MATCH_EQUAL abgeglichen werden. Aus diesem Grund kann eine Richtlinie so festgelegt werden, dass erneute Autorisierungen blockiert und ein ALE-Flow abgerissen wird, wenn Erneutauthorisierungsanforderungen für den ALE-Flow eintreffen.

Erneute Verbindungsautorisierung ausstehend

Ein Legendentreiber kann einen Klassifizierungsvorgang auf ALE-Ebenen verschieben und zu einem späteren Zeitpunkt abschließen, wenn die Filterentscheidung sicher getroffen werden kann. Die ALE-Funktion "postpone/complete" wird über die Kernelmodusfunktionen FwpsPendOperation0 und FwpsCompleteOperation0 unterstützt.

Die erneute Autorisierung wird unmittelbar nach dem FwpsCompleteOperation0-Aufruf ausgelöst und ermöglicht es dem Legendentreiber, den Flow zuzulassen oder zu blockieren.

Nur eine erstautorisierung kann verschoben werden. Ein Aufruf von FwpsPendOperation0 schlägt fehl, wenn FWP_CONDITION_FLAG_IS_REAUTHORIZE Flag festgelegt ist.

Weitere Informationen finden Sie in der Dokumentation zum Windows Driver Kit .

Erzwingung auf Anwendungsebene (Application Layer Enforcement, ALE)

ALE-Ebenen

Zustandsbehaftete ALE-Filterung

ALE-Multicast-/Broadcastdatenverkehr

Anpassung des ALE-Flusses