ALE 是一组用于有状态筛选的 Windows 筛选平台(WFP)内核模式层。
有状态筛选会跟踪网络连接的状态,只允许与已知连接状态匹配的数据包。 例如,从防火墙后面启动的 TCP 连接的有状态筛选只能允许与受保护方发送的先前传出数据包匹配的传入数据包。
ALE 层中的筛选器授权入站和出站连接创建、端口分配、套接字作(如 listen()、原始套接字创建和杂交模式接收。
ALE 层上的流量被分类为每个连接或每套接字作。 在非 ALE 层,筛选器只能按数据包对流量进行分类。
ALE 层是唯一一个可基于应用程序标识(使用规范化文件名)和基于用户标识(使用安全描述符)筛选网络流量的 WFP 层。 (请参阅 Windows 驱动程序工具包(WDK)文档中的FLT_FILE_NAME_INFORMATION,了解有关规范化文件名的详细信息。
此外,当 IPsec 用于保护连接时,还可以在远程计算机标识和远程用户标识上对 ALE 层进行筛选。 远程计算机和用户标识是从创建 IPsec 会话时使用的凭据获取的。
因此,强制实施谁(例如“管理员”)和/或允许哪个应用程序(例如,“Internet Explorer”)执行上述网络作的策略在 ALE 层进行创作。
ALE 为策略提供强制实施,例如“允许 Windows Messenger 在阻止所有其他应用程序的同时访问网络”。在此示例中,当应用程序“Messenger”跨网络连接时,ALE 会捕获事件,确定它是由 Messenger 发起的,并查询 WFP 筛选器引擎以确定是否应允许套接字继续。
注意
由于真正的双 IP 套接字的性质,IPv4 ALE 层的分类可能不会发生。 这是按设计进行的,因为出于所有意向和目的,套接字是 IPv6 套接字。 若要查看此类套接字的 V4 流量,请使用 IPv6 映射的地址在 V6 层创建筛选器。
相关主题