应用层强制实施 (ALE)

ALE 是一组 Windows 筛选平台 (WFP) 用于有状态筛选的内核模式层。

有状态筛选跟踪网络连接的状态,只允许与已知连接状态匹配的数据包。 例如,对从防火墙后面启动的 TCP 连接的有状态筛选只能允许与受保护方先前发送的传出数据包匹配的传入数据包。

ALE 层中的筛选器授权入站和出站连接创建、端口分配、套接字操作(例如 listen () 、原始套接字创建和杂乱模式接收)。

ALE 层上的流量按连接或按套接字操作分类。 在非 ALE 层中,筛选器只能按数据包对流量进行分类。

ALE 层是唯一可以基于应用程序标识(使用规范化文件名)和基于用户标识(使用安全描述符)筛选网络流量的 WFP 层。 (有关规范化文件名的详细信息,请参阅 Windows 驱动程序工具包 (WDK) 文档中的FLT_FILE_NAME_INFORMATION。)

此外,使用 IPsec 保护连接时,还可以对远程计算机标识和远程用户标识执行 ALE 层筛选。 远程计算机和用户标识是从创建 IPsec 会话时使用的凭据获取的。

因此,强制 (“administrator”) 和/或哪些应用程序 ((例如,允许“Internet Explorer”) 执行上述网络操作)的策略是在 ALE 层创作的。

ALE 为策略提供强制实施,例如“允许 Windows Messenger 所有访问网络,同时阻止所有其他应用程序”。在此类示例中,当应用程序“Messenger”通过网络连接时,ALE 捕获事件,确定它是由 Messenger 启动的,并查询 WFP 筛选器引擎以确定是否应允许套接字继续。

注意

由于真正的双 IP 套接字的性质,IPv4 ALE 层的分类可能不会发生。 这是设计使然,因为对于所有意向和目的,套接字都是 IPv6 套接字。 若要查看此类套接字的 V4 流量,请使用 IPv6 映射地址在 V6 层创建筛选器。

 

ALE 层

ALE 有状态筛选

ALE 多播/广播流量

ALE 重新授权

ALE 流自定义