套用層強制 (ALE)
ALE 是一組用於具狀態篩選的 Windows 篩選平臺 (WFP) 核心模式層。
具狀態篩選會追蹤網路連線的狀態,只允許符合已知連線狀態的封包。 例如,從防火牆後方起始之 TCP 連線的具狀態篩選只能允許符合受保護合作物件所傳送先前傳出封包的連入封包。
ALE 層中的篩選會授權輸入和輸出連線建立、埠指派、套接字作業,例如 listen()、原始套接字建立和雜交模式接收。
ALE 層的流量會分類每個連線或每一套接字作業。 在非 ALE 層中,篩選只能依每個封包分類流量。
ALE 層是唯一的 WFP 層,可以使用安全描述元,根據應用程式身分識別來篩選網路流量,以及根據使用者身分識別來篩選網路流量。 (如需標準化檔名的詳細資訊,請參閱 Windows 驅動程式套件 (WDK) 檔中的FLT_FILE_NAME_INFORMATION。
此外,當 IPsec 用來保護連線時,您也可以在遠端電腦身分識別和遠端使用者身分識別上執行 ALE 層的篩選。 遠端電腦和使用者身分識別是從建立 IPsec 工作階段時所使用的認證取得。
因此,強制執行誰(例如「系統管理員」和/或哪些應用程式(例如,「Internet Explorer」)的原則,可在 ALE 層撰寫上述網路作業。
ALE 提供原則的強制執行,例如「允許 Windows Messenger 所有存取網路,同時封鎖所有其他應用程式」。在這類範例中,當應用程式 「Messenger」 透過網路連線時,ALE 會擷取事件、判斷它是由 Messenger 起始,並查詢 WFP 篩選引擎,以判斷是否應該允許套接字繼續。
注意
由於真正的雙IP套接字本質,IPv4 ALE 層的分類可能不會發生。 這是根據設計,因為針對所有意圖和用途,套接字是IPv6套接字。 若要查看這類套接字的 V4 流量,請使用 IPv6 對應位址在 V6 層建立篩選。
相關主題