Condividi tramite

Applicazione del livello applicazione (ALE)

  • Articolo

ALE è un set di livelli in modalità kernel di Windows Filtering Platform (WFP) usati per il filtro con stato.

Il filtro con stato tiene traccia dello stato delle connessioni di rete e consente solo pacchetti che corrispondono a uno stato di connessione noto. Ad esempio, il filtro con stato per una connessione TCP avviata da dietro un firewall può consentire solo pacchetti in ingresso che corrispondono ai pacchetti in uscita precedenti inviati dall'entità protetta.

I filtri nei livelli ALE autorizzano la creazione di connessioni in ingresso e in uscita, le assegnazioni di porte, le operazioni socket come listen(), la creazione di socket non elaborati e la ricezione della modalità promiscua.

Il traffico ai livelli ALE viene classificato per ogni connessione o operazione per socket. A livelli non ALE, i filtri possono classificare il traffico solo per pacchetto.

I livelli ALE sono gli unici livelli WFP in cui il traffico di rete può essere filtrato in base all'identità dell'applicazione, usando un nome file normalizzato e basato sull'identità utente, usando un descrittore di sicurezza. Per altre informazioni sui nomi di file normalizzati, vedere FLT_FILE_NAME_INFORMATION nella documentazione di Windows Driver Kit (WDK).

Inoltre, quando si usa IPsec per proteggere la connessione, è anche possibile eseguire filtri a livelli ALE sull'identità del computer remoto e sull'identità dell'utente remoto. Le identità del computer remoto e dell'utente vengono ottenute dalle credenziali usate nella creazione di una sessione IPsec.

Per questo motivo, i criteri che applicano chi (ad esempio, "amministratore") e/o quale applicazione (ad esempio, "Internet Explorer") possono eseguire le operazioni di rete indicate in precedenza vengono create ai livelli ALE.

ALE fornisce l'applicazione di criteri come "consentire a Windows Messenger tutti l'accesso alla rete bloccando tutte le altre applicazioni". In un esempio, quando l'applicazione "Messenger" si connette attraverso la rete, ALE trapa l'evento, determina che è stato avviato da Messenger e interroga il motore di filtro WFP per determinare se il socket deve essere autorizzato a continuare.

Nota

A causa della natura dei socket dual-IP reali, le classificazioni al livello IPv4 ALE potrebbero non verificarsi. Questo è per progettazione, perché per tutte le finalità e gli scopi, il socket è un socket IPv6. Per visualizzare il traffico V4 per un socket di questo tipo, creare filtri a livello V6 usando l'indirizzo mappato IPv6.

 

livelli ALE

filtro con stato ALE

traffico multicast/broadcast ALE

di riautorizzazione ALE

personalizzazione del flusso ALE