ALE 重新授權
Windows 篩選平臺 (WFP) 應用層強制層 (ALE) 層的網路流量會依 ALE 流程篩選。 允許 ALE 流程之後,允許屬於 ALE 流程的所有流量。 重新授權是驗證 ALE 流程許可權的要求,通常是因為網路原則的變更。
ALE 流程會根據觸發流程建立和授權的第一個封包方向,指派方向、輸入或輸出。 輸入 ALE 流程會在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層 建立並授權。 輸出 ALE 流程會在 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層 建立並授權。 ALE 流程的方向不會限制屬於流程的封包方向。 不論 ALE 流程本身的方向為何,ALE 流程都包含輸入和輸出封包。
ALE 流程的重新授權是由:
- ALE 流程最初獲得授權或建立之層級的原則變更。
- 抵達介面與 ALE 流程最初獲得授權或建立的介面不同。
- 暫止連線。
重新授權與初始授權的區別在於 FWP_CONDITION_FLAG_IS_REAUTHORIZE 旗標的存在。
重新授權只能在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 和 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層 進行。
原則變更重新授權
原則變更會實作為 ALE 層的篩選新增或移除。 偵測到原則變更之後,會指定周遊受影響層所建立之 ALE 流程的第一個封包,以便重新授權至圖層。 因此,若要重新授權,輸出封包完全有可能分類在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層 層,而且輸入封包會分類在 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層 層。
這種混合方向分類的其中一個原因是,可能沒有來自原始方向的進一步網路流量(例如輸入 ALE 流量的輸入封包)。 其中一個範例是初始雙向交握之後的單向 UDP 串流。 在此情況下,最好儘快卸除串流。
抵達介面重新授權
從 Windows Server 2008 和 Windows Vista Service Pack 1 (SP1) 開始,即可使用抵達介面重新授權。
屬於相同 ALE 流程的封包可以從多個介面抵達。 第一個封包是透過不同於 ALE 流程原始介面的介面傳入的封包會重新授權。
在強主機模型中,這是 TCP/IP 堆棧的預設安全性模型,網路介面上的連線只接受位於相同介面上的封包。 因此,強主計算機上不會使用抵達介面重新授權。
在弱式主機模型中,網路介面上的連線允許封包傳入任何其他網路介面。 抵達介面重新授權是在弱式主計算機上用來實作介面特定原則。 如需詳細資訊,請參閱 「纜線人:強弱主機模型」
某些 可分類的字段 在重新授權期間可能未知。 例如,如果在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層重新授權輸出封包,則與抵達介面相關的所有字段都未知。 在此情況下,未知欄位的值會以 FWP_EMPTY表示。
FWP_EMPTY 類型的欄位可以與 FWP_MATCH_EQUAL比對。 因此,原則可以設定為封鎖重新授權,並在重新授權 ALE 流程的要求送達時卸除 ALE 流程。
擱置連線重新授權
圖說文字驅動程式可能會延後 ALE 層的分類作業,並在稍後完成時,可以安全地進行篩選決策。 透過 FwpsPendOperation0 和 FwpsCompleteOperation0的核心模式函式,支援 ALE 延後/完整功能。
重新授權會在 FwpsCompleteOperation0 呼叫之後立即觸發,並允許圖說文字驅動程式允許或封鎖流程。
只有初始授權可以延後。 如果已設定 FWP_CONDITION_FLAG_IS_REAUTHORIZE 旗標,則對 FwpsPendOperation0 的呼叫將會失敗。
如需詳細資訊,請參閱 Windows Driver Kit 檔。
相關主題