應用層強制執行 (ALE)
ALE 是一組用於具狀態篩選的 Windows 篩選平台 () 核心模式層。
具狀態篩選會追蹤網路連線的狀態,只允許符合已知線上狀態的封包。 例如,從防火牆後方起始之 TCP 連線的具狀態篩選,只能允許符合受保護合作物件所傳送之先前傳出封包的傳入封包。
ALE 層中的篩選會授權輸入和輸出連線建立、埠指派、通訊端作業,例如 接聽 () 、原始通訊端建立,以及接收寬鬆模式。
ALE 層的流量會分類為個別連線或個別通訊端作業。 在非 ALE 層中,篩選只能依封包分類流量。
ALE 層是唯一可依據應用程式身分識別來篩選網路流量、使用正規化檔案名,以及根據使用者身分識別使用安全性描述元篩選的一層。 (如需標準化檔案名的詳細資訊,請參閱 Windows 驅動程式套件 (WDK) 檔中的 FLT_FILE_NAME_INFORMATION。)
此外,當 IPsec 用來保護連線時,也可以在遠端電腦身分識別和遠端使用者身分識別上執行 ALE 層的篩選。 遠端電腦和使用者身分識別是從建立 IPsec 會話時所使用的認證取得。
基於這個理由,強制執行 (的原則,例如,「系統管理員」) 和/或哪些應用程式 (,允許「Internet Explorer」) 在 ALE 層撰寫上述網路作業。
ALE 提供原則的強制執行,例如「允許 Windows Messenger 所有存取網路,同時封鎖所有其他應用程式」。在這類範例中,當應用程式 「Messenger」 連線到網路上時,ALE 會捕捉事件、判斷它是由 Messenger 起始,並查詢此 MESSENGER 篩選引擎,以判斷是否應該允許通訊端繼續。
注意
由於真正的雙 IP 通訊端本質,IPv4 ALE 層的分類可能不會發生。 這是設計方式,因為針對所有意圖和用途,通訊端是 IPv6 通訊端。 若要查看這類通訊端的 V4 流量,請使用 IPv6 對應位址在 V6 層建立篩選。
相關主題