次の方法で共有

ALE の再認証

  • [アーティクル]

Windows フィルタリング プラットフォーム (WFP) のアプリケーション層強制 (ALE) レイヤーのネットワーク トラフィックは、ALE フローによってフィルター処理されます。 ALE フローが許可されると、ALE フローの一部であるすべてのトラフィックが許可されます。 再認証は、ALE フローのアクセス許可を検証するための要求です。通常は、ネットワーク ポリシーの変更が原因です。

ALE フローには、フローの作成と承認をトリガーした最初のパケットの方向に基づいて、方向 (受信または送信) が割り当てられます。 受信 ALE フローは、FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層で作成および承認されます。 送信 ALE フローは、FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} レイヤーで作成および承認されます。 ALE フローの方向は、フローに属するパケットの方向を制限しません。 ALE フローには、ALE フロー自体の方向に関係なく、受信パケットと送信パケットの両方が含まれます。

ALE フローの再認証は、次の方法でトリガーされます。

  • ALE フローが最初に承認または作成されたレイヤーでのポリシーの変更。
  • ALE フローが最初に承認または作成されたインターフェイスとは異なる到着インターフェイス。
  • 保留中の接続。

再認証は、FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが存在することで、初期承認と区別されます。

再認証は、FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} および FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層でのみ行うことができます。

ポリシー変更の再認証

ポリシーの変更は、ALE レイヤーでのフィルターの追加または削除として実装されます。 ポリシーの変更が検出されると、影響を受けるレイヤーで作成された ALE フローを走査する最初のパケットが、レイヤーへの再認証用に指定されます。 そのため、再認証では、送信パケットが FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層で分類され、受信パケットが FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層で分類される可能性があります。

この混合方向分類の理由の 1 つは、元の方向からのそれ以上のネットワーク トラフィックが存在しない可能性があることです (たとえば、受信 ALE フローの受信パケット)。 このような例の 1 つは、最初の双方向ハンドシェイク後の一方向 UDP ストリーミングです。 この場合は、できるだけ早くストリーミングを破棄する方が望ましいです。

到着インターフェイスの再認証

到着インターフェイスの再認証は、Windows Server 2008 および Windows Vista Service Pack 1 (SP1) 以降で使用できます。

同じ ALE フローに属するパケットは、複数のインターフェイスから到着する可能性があります。 ALE フローの元のインターフェイスとは異なるインターフェイス経由で最初に入ってくるパケットが再認証されます。

TCP/IP スタックの既定のセキュリティ モデルである強力なホスト モデルでは、ネットワーク インターフェイス上の接続は、同じインターフェイスに入ってくるパケットのみを受け入れます。 したがって、到着インターフェイスの再認証は、強力なホスト コンピューターでは使用されません。

弱いホスト モデルでは、ネットワーク インターフェイス上の接続により、他のネットワーク インターフェイスでパケットが受信されます。 到着インターフェイスの再認証は、インターフェイス固有のポリシーを実装するために、脆弱なホスト コンピューターで使用されます。 詳細については、「ケーブル ガイ: 強力なホスト モデルと弱いホスト モデル」を 」を参照してください

分類可能なフィールドの中には、再認証中に不明なものもあります。 たとえば、送信パケットが FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層で再認証されている場合、到着インターフェイスに関連するすべてのフィールドは不明です。 その場合、不明なフィールドの値は FWP_EMPTYとして示されます。

FWP_EMPTY 型のフィールドは、FWP_MATCH_EQUALと照合できます。 そのため、ALE フローの再認証要求が到着したときに、再認証をブロックし、ALE フローを破棄するようにポリシーを設定できます。

保留中の接続の再認証

コールアウト ドライバーは、フィルター処理の決定を安全に行うことができるときに、ALE レイヤーで分類操作を延期し、後で完了することができます。 ALE の延期/完全な機能は、FwpsPendOperation0 カーネル モード関数と FwpsCompleteOperation0 を使用してサポートされます。

再認証は FwpsCompleteOperation0 呼び出しの直後にトリガーされ、コールアウト ドライバーがフローを許可またはブロックできるようになります。

最初の承認のみを延期できます。 FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが設定されている場合、FwpsPendOperation0 の呼び出しは失敗します。

詳細については、Windows Driver Kit ドキュメントを参照してください。

Application Layer Enforcement (ALE)

ALE レイヤーの する

ALE ステートフル フィルター処理

ALE マルチキャスト/ブロードキャスト トラフィック

ALE フローのカスタマイズ する