Compartilhar via


Reautorização de ALE

O tráfego de rede nas camadas ALE (Application Layer Enforcement) da Plataforma de Filtragem do Windows (WFP) é filtrado por fluxos ALE. Depois que um fluxo ALE é permitido, todo o tráfego que faz parte do fluxo ALE é permitido. A reautorização é uma solicitação para validar as permissões do fluxo ALE, normalmente devido a uma alteração na política de rede.

Os fluxos ALE recebem uma direção, entrada ou saída, com base na direção do primeiro pacote que disparou a criação e autorização do fluxo. Os fluxos ALE de entrada são criados e autorizados na camada FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6 }. Os fluxos ALE de saída são criados e autorizados na camada FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6 }. A direção do fluxo ALE não limita a direção dos pacotes que pertencem ao fluxo. Os fluxos ALE contêm pacotes de entrada e saída, independentemente da direção do próprio fluxo ALE.

A reautorização de um fluxo ALE é disparada por:

  • Uma alteração de política na camada em que o fluxo ALE foi originalmente autorizado ou criado.
  • Uma interface de chegada diferente da interface em que o fluxo ALE foi originalmente autorizado ou criado.
  • Uma conexão pendente.

A reautorização é distinguida da autorização inicial pela presença do sinalizador FWP_CONDITION_FLAG_IS_REAUTHORIZE .

A reautorização pode ocorrer somente nas camadas FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Reautorização de Alteração de Política

Uma alteração de política é implementada como uma adição ou remoção de filtro em uma camada ALE. Depois que uma alteração de política for detectada, o primeiro pacote que atravessa um fluxo ALE criado na camada afetada será especificado para reautorização para a camada. Portanto, para reautorização, é inteiramente possível que um pacote de saída seja classificado na camada FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} e que um pacote de entrada seja classificado na camada FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Um motivo para essa classificação de direção mista é que pode não haver mais tráfego de rede da direção original (por exemplo, pacote de entrada para fluxo ALE de entrada). Um desses exemplos é o streaming UDP unidirecional após um handshake bidirecional inicial. Nesse caso, é mais desejável derrubar o streaming o mais rápido possível.

Reautorização da interface de chegada

A reautorização da interface de chegada está disponível a partir do Windows Server 2008 e do Windows Vista com o Service Pack 1 (SP1).

Pacotes pertencentes ao mesmo fluxo ALE podem chegar de várias interfaces. O primeiro pacote a entrar em uma interface diferente da interface original do fluxo ALE é reautorizado.

Em um modelo de host forte, que é o modelo de segurança padrão para a pilha TCP/IP, uma conexão em um adaptador de rede aceita apenas pacotes que entram na mesma interface. Portanto, a reautorização da interface de chegada não é usada em um computador host forte.

Em um modelo de host fraco, uma conexão em um adaptador de rede permite que os pacotes entrem em qualquer outro adaptador de rede. A reautorização da interface de chegada é usada em um computador host fraco para implementar políticas específicas da interface. Para obter mais informações, confira "O cara do cabo: modelos de host fortes e fracos".

Alguns campos classificáveis podem ser desconhecidos durante a reautorização. Por exemplo, se um pacote de saída estiver sendo reautorizado na camada FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , todos os campos relativos à interface de chegada serão desconhecidos. Nesse caso, os valores dos campos desconhecidos são indicados como FWP_EMPTY.

Campos do tipo FWP_EMPTY podem ser correspondidos com FWP_MATCH_EQUAL. Portanto, uma política pode ser definida para bloquear reautorizações e derrubar um fluxo ALE quando as solicitações de reautorização para o fluxo ALE chegarem.

Reautorização de conexão pendente

Um driver de texto explicativo pode adiar uma operação de classificação em camadas ALE e concluí-la posteriormente, quando a decisão de filtragem puder ser tomada com segurança. A funcionalidade ALE postpone/complete tem suporte por meio das funções do modo kernel FwpsPendOperation0 e FwpsCompleteOperation0.

A reautorização é disparada imediatamente após a chamada FwpsCompleteOperation0 e permite que o driver de texto explicativo permita ou bloqueie o fluxo.

Somente uma autorização inicial pode ser adiada. Uma chamada para FwpsPendOperation0 falhará se FWP_CONDITION_FLAG_IS_REAUTHORIZE sinalizador estiver definido.

Para obter mais informações, consulte a documentação do Kit de Driver do Windows .

ALE (Application Layer Enforcement)

Camadas ALE

Filtragem com estado do ALE

Tráfego multicast/difusão do ALE

Personalização do Fluxo ALE