Condividi tramite


Livelli ALE

L'applicazione livello applicazione (ALE) è costituita da diversi livelli di filtro e molti livelli di eliminazione corrispondenti. Tutti i livelli del motore di filtro Windows Filtering Platform (WFP), inclusi ALE, sono descritti in Filtering Layer Identifiers (Filtri identificatori livello). Questo argomento contiene una descrizione più dettagliata dei livelli di filtro che fanno parte di ALE.

RESOURCE_ASSIGNMENT

Un filtro al livello FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V{4|6} corrisponde alle operazioni di associazione di rete, esplicite o implicite.

Se un filtro a questo livello viene confrontato per autorizzare la creazione di socket non elaborati, verrà impostato il flag FWP_CONDITION_FLAG_IS_RAW_ENDPOINT .

Se un filtro a questo livello viene confrontato per autorizzare la ricezione della modalità promiscua, il campo FWP_CONDITION_ALE_PROMISCUOUS_MODE verrà impostato su SIO_RCVALL. Per una descrizione di SIO_RCVALL, vedere WSAIoctl.

Nota

Questo è l'unico livello in cui è possibile filtrare la modalità promiscua.

 

Se non viene specificata alcuna porta durante bind(), ovvero la porta è impostata su 0 (zero), lo stack TCP/IP selezionerà una porta dall'intervallo di porte dinamiche (19152-65535). La porta selezionata verrà classificata a questo livello insieme al flag FWP_CONDITION_FLAG_IS_WILDCARD_BIND .

Se l'indirizzo locale non viene specificato nella chiamata bind(), il campo indirizzo locale viene impostato su FWP_EMPTY.

AUTH_LISTEN

Un filtro al livello FWPM_LAYER_ALE_AUTH_LISTEN_V{4|6} corrisponde alle chiamate tcp listen().

AUTH_RECV_ACCEPT

Un filtro al livello FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} corrisponde alle chiamate TCP accept(), per i primi pacchetti UDP (unicast) da una tupla univoca di indirizzo remoto/porta e per i primi messaggi ICMP (unicast) in ingresso con un tipo ICMP, codice e ID univoci.

Nota

I protocolli che non sono TCP o ICMP vengono trattati come UDP.

 

I pacchetti TCP ricevuti dai socket non elaborati vengono gestiti in modo analogo al traffico UDP. Vale a dire, verranno filtrati solo il primo tcp send() e il primo TCP recv() sui socket non elaborati.

AUTH_CONNECT

Un filtro al livello FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} viene confrontato per le chiamate TCP connect(), per i primi pacchetti UDP inviati a un indirizzo remoto univoco e una tupla di porta e per i primi messaggi ICMP non di errore in uscita con un tipo ICMP, codice e ID univoci.

Nota

I protocolli che non sono TCP o ICMP vengono trattati come UDP.

 

I pacchetti TCP inviati da socket non elaborati vengono gestiti in modo analogo al traffico UDP. Vale a dire, verranno filtrati solo il primo tcp send() e il primo TCP recv() sui socket non elaborati.

FLOW_ESTABLISHED

Un filtro al livello FWPM_LAYER_ALE_FLOW_ESTABLISHED_V{4|6} corrisponde dopo il completamento di un handshake TCP a tre vie. Per il traffico non TCP, il filtro viene confrontato immediatamente dopo la corrispondenza dei filtri provenienti da AUTH_RECV_ACCEPT o AUTH_CONNECT livelli.

Un filtro a questo livello non deve restituire Blocco o Consenti.

Questo livello viene usato dai driver di callout per tenere traccia dello stato di connessione, descritto in dettaglio nella documentazione di Windows Driver Kit .

RESOURCE_RELEASE

Un filtro al livello FWPM_LAYER_ALE_RESOURCE_RELEASE_V{4|6} corrisponde dopo che le risorse allocate tramite RESOURCE_ASSIGNMENT sono state liberate.

ENDPOINT_CLOSURE

Un filtro al livello FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V{4|6} corrisponde quando viene chiuso un flusso TCP connesso o un endpoint socket UDP.

CONNECT_REDIRECT

Un filtro al livello FWPM_LAYER_ALE_CONNECT_REDIRECT_V{4|6} consente la modifica di indirizzi e porte remoti. La connessione in uscita verrà reindirizzata per la durata della connessione.

BIND_REDIRECT

Un filtro al livello FWPM_LAYER_ALE_BIND_REDIRECT_V{4|6} consente la modifica dell'indirizzo e delle porte locali del socket sottostante. Il socket locale verrà reindirizzato per la durata del socket

Livelli ALE DISCARD

Per ognuno dei livelli ALE descritti sopra il motore di filtro contiene un livello di eliminazione corrispondente. I livelli di eliminazione di ALE vengono usati dai callout a scopo di registrazione. I pacchetti e le indicazioni che sono stati rimossi in uno dei livelli di filtro ALE sono indicati al livello di eliminazione ALE corrispondente.

Applicazione livello applicazione (ALE)

Filtro con stato ALE

Traffico multicast/broadcast ALE

Riautorizzazione ALE

Personalizzazione del flusso ALE

Flussi di pacchetti TCP

Flussi di pacchetti UDP

Funzioni Winsock

Flag delle condizioni di filtro

Condizioni di filtro disponibili a ogni livello di filtro