Compartir a través de


Aplicación de la capa de aplicación (ALE)

ALE es un conjunto de capas en modo kernel de la Plataforma de filtrado de Windows (PMA) que se usan para el filtrado con estado.

El filtrado con estado realiza un seguimiento del estado de las conexiones de red y solo permite los paquetes que coinciden con un estado de conexión conocido. Por ejemplo, el filtrado con estado de una conexión TCP iniciada desde detrás de un firewall solo puede permitir paquetes entrantes que coincidan con los paquetes salientes anteriores enviados por la parte protegida.

Los filtros de las capas de ALE autorizan la creación de conexiones entrantes y salientes, las asignaciones de puertos, las operaciones de socket como listen(), la creación de sockets sin formato y la recepción del modo promiscuo.

El tráfico en las capas de ALE se clasifica por conexión o por operación de socket. En capas que no son de ALE, los filtros solo pueden clasificar el tráfico por paquete.

Las capas de ALE son las únicas capas de PMA en las que se puede filtrar el tráfico de red en función de la identidad de la aplicación (mediante un nombre de archivo normalizado) y en función de la identidad del usuario, mediante un descriptor de seguridad. (Consulte FLT_FILE_NAME_INFORMATION en la documentación del Kit de controladores de Windows (WDK), para obtener más información sobre los nombres de archivo normalizados).

Además, cuando se usa IPsec para proteger la conexión, el filtrado en capas de ALE también se puede realizar en la identidad del equipo remoto y en la identidad del usuario remoto. La máquina remota y las identidades de usuario se obtienen de las credenciales usadas en la creación de una sesión de IPsec.

Por este motivo, las directivas que aplican quién (por ejemplo, "administrador") o qué aplicación (por ejemplo, "Internet Explorer") pueden realizar las operaciones de red mencionadas anteriormente se crean en las capas de ALE.

ALE proporciona cumplimiento para directivas como "permitir que Windows Messenger acceda a la red mientras bloquea todas las demás aplicaciones". En este ejemplo, cuando la aplicación "Messenger" se conecta a través de la red, ALE intercepta el evento, determina que fue iniciado por Messenger y consulta al motor de filtros DE PMA para determinar si se debe permitir que el socket continúe.

Nota

Debido a la naturaleza de los sockets duales verdaderos de IP, es posible que no se produzcan clasificaciones en la capa de ALE IPv4. Esto es así por diseño, porque para todas las intenciones y propósitos, el socket es un socket IPv6. Para ver el tráfico V4 de este tipo de socket, cree filtros en la capa V6 mediante la dirección asignada por IPv6.

 

Capas de ALE

Filtrado con estado de ALE

Tráfico de multidifusión o difusión de ALE

Reautorización de ALE

Personalización del flujo de ALE