Condividi tramite


Riautorizzazione ALE

Il traffico di rete ai livelli APPLICATION Layer Enforcement (ALE) di Windows Filtering Platform (WFP) viene filtrato in base ai flussi ALE. Una volta consentito un flusso ALE, è consentito tutto il traffico che fa parte del flusso ALE. La riautorizzazione è una richiesta per convalidare le autorizzazioni del flusso ALE, in genere a causa di una modifica dei criteri di rete.

Ai flussi ALE viene assegnata una direzione, in ingresso o in uscita, in base alla direzione del primo pacchetto che ha attivato la creazione e l'autorizzazione del flusso. I flussi ALE in ingresso vengono creati e autorizzati al livello FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} . I flussi ALE in uscita vengono creati e autorizzati al livello FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} . La direzione del flusso ALE non limita la direzione dei pacchetti che appartengono al flusso. I flussi ALE contengono pacchetti sia in ingresso che in uscita indipendentemente dalla direzione del flusso ALE stesso.

La riautorizzazione di un flusso ALE viene attivata da:

  • Modifica dei criteri al livello in cui il flusso ALE è stato originariamente autorizzato o creato.
  • Interfaccia di arrivo diversa dall'interfaccia in cui il flusso ALE è stato originariamente autorizzato o creato.
  • Connessione in sospeso.

La riautorizzazione è distinta dall'autorizzazione iniziale in base alla presenza del flag FWP_CONDITION_FLAG_IS_REAUTHORIZE .

La riautorizzazione può essere eseguita solo ai livelli FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Riautorizzazione delle modifiche ai criteri

Una modifica dei criteri viene implementata come aggiunta o rimozione di filtri a un livello ALE. Dopo aver rilevato una modifica dei criteri, il primo pacchetto che attraversa un flusso ALE creato al livello interessato verrà specificato per la riautorizzazione al livello. Pertanto, per la riautorizzazione è possibile che un pacchetto in uscita venga classificato al livello FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e che un pacchetto in ingresso sia classificato al livello FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Un motivo per questa classificazione di direzione mista è che potrebbe non esserci ulteriore traffico di rete dalla direzione originale (ad esempio, il pacchetto in ingresso per il flusso ALE in ingresso). Uno di questi esempi è lo streaming UDP unidirezionale dopo un handshake bidirezionale iniziale. In questo caso è più auspicabile rimuovere il flusso il prima possibile.

Riautorizzazione dell'interfaccia di arrivo

La riautorizzazione dell'interfaccia di arrivo è disponibile a partire da Windows Server 2008 e Windows Vista con Service Pack 1 (SP1).

I pacchetti appartenenti allo stesso flusso ALE possono arrivare da più interfacce. Il primo pacchetto in ingresso su un'interfaccia diversa dall'interfaccia originale del flusso ALE è autorizzato.

In un modello host sicuro, che è il modello di sicurezza predefinito per lo stack TCP/IP, una connessione in un'interfaccia di rete accetta solo pacchetti inclusi nella stessa interfaccia. Pertanto, la riautorizzazione dell'interfaccia di arrivo non viene usata in un computer host sicuro.

In un modello host debole, una connessione su un'interfaccia di rete consente pacchetti in arrivo in qualsiasi altra interfaccia di rete. La riautorizzazione dell'interfaccia di arrivo viene usata in un computer host debole per implementare criteri specifici dell'interfaccia. Per altre informazioni, vedere "The Cable Guy: Strong and Weak Host Models".

Alcuni campi classificabili potrebbero essere sconosciuti durante la riautorizzazione. Ad esempio, se un pacchetto in uscita viene reautore autorizzato al livello FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , tutti i campi relativi all'interfaccia di arrivo sono sconosciuti. In tal caso, i valori dei campi sconosciuti vengono indicati come FWP_EMPTY.

I campi di tipo FWP_EMPTY possono essere confrontati con FWP_MATCH_EQUAL. È pertanto possibile impostare un criterio per bloccare le riautorizzazioni e rimuovere un flusso ALE quando arrivano le richieste di riautorizzazione per il flusso ALE.

Riautorizzazione connessione in sospeso

Un driver di callout può posticipare un'operazione di classificazione a livelli ALE e completarla in un secondo momento, quando la decisione di filtro può essere presa in modo sicuro. La funzionalità di rinvio/completamento di ALE è supportata tramite le funzioni in modalità kernel FwpsPendOperation0 e FwpsCompleteOperation0.

La riautorizzazione viene attivata immediatamente dopo la chiamata a FwpsCompleteOperation0 e consente al driver del callout di consentire o bloccare il flusso.

È possibile posticipare solo un'autorizzazione iniziale. Una chiamata a FwpsPendOperation0 avrà esito negativo se è impostato FWP_CONDITION_FLAG_IS_REAUTHORIZE flag.

Per altre informazioni, vedere la documentazione di Windows Driver Kit .

Applicazione livello applicazione (ALE)

Livelli ALE

Filtro con stato ALE

Traffico multicast/broadcast ALE

Personalizzazione del flusso ALE