Повторная авторизация ALE
Сетевой трафик на уровнях применения уровня приложений (ALE) платформы фильтрации Windows (МПП) фильтруется по потокам ALE. После разрешения потока ALE разрешен весь трафик, который входит в поток ALE. Повторная проверка подлинности — это запрос на проверку разрешений потока ALE, как правило, из-за изменения политики сети.
Потоки ALE назначаются направление, входящий или исходящий трафик, в зависимости от направления первого пакета, который активировал создание и авторизацию потока. Входящие потоки ALE создаются и авторизованы на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}. Исходящие потоки ALE создаются и авторизованы на уровне FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}. Направление потока ALE не ограничивает направление пакетов, принадлежащих потоку. Потоки ALE содержат как входящие, так и исходящие пакеты независимо от направления самого потока ALE.
Повторная проверка подлинности потока ALE активируется следующими процессами:
- Изменение политики на уровне, в котором поток ALE изначально был авторизован или создан.
- Интерфейс прибытия отличается от интерфейса, в котором поток ALE изначально был авторизован или создан.
- Ожидающий подключения.
Повторная проверка подлинности отличается от первоначальной авторизации по присутствию флага FWP_CONDITION_FLAG_IS_REAUTHORIZE.
Повторная авторизация может выполняться только в FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} и FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} уровнях.
Повторное редактирование политики
Изменение политики реализуется как добавление фильтра или удаление на уровне ALE. После обнаружения изменения политики первый пакет, который проходит поток ALE, созданный на затронутом уровне, будет указан для повторной проверки подлинности на уровне. Поэтому для повторной проверки подлинности вполне возможно, что исходящий пакет классифицируется на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} и что входящий пакет классифицируется на уровне FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}.
Одна из причин классификации смешанного направления заключается в том, что не может быть дополнительный сетевой трафик из исходного направления (например, входящий пакет для входящего потока ALE). Один из таких примеров — односторонняя потоковая передача UDP после первоначального двустороннего подтверждения. В этом случае рекомендуется как можно скорее разорвать потоковую передачу.
Повторная авторизация интерфейса прибытия
Переусервирование интерфейса прибытия доступно начиная с Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1).
Пакеты, принадлежащие одному потоку ALE, могут поступать из нескольких интерфейсов. Первый пакет, поступающий через интерфейс, отличный от исходного интерфейса потока ALE, несанкционированен.
В строгой модели узла, которая является моделью безопасности по умолчанию для стека TCP/IP, подключение к сетевому интерфейсу принимает только пакеты, которые входят в тот же интерфейс. Поэтому повторная авторизация интерфейса прибытия не используется на сильном хост-компьютере.
В слабой модели узла подключение к сетевому интерфейсу позволяет пакетам поступать в любой другой сетевой интерфейс. Повторная авторизация интерфейса прибытия используется на слабом компьютере узла для реализации политик, относящихся к интерфейсу. Дополнительные сведения см. в "Кабельный парень: сильные и слабые модели узлов".
Некоторые классификируемые поля могут быть неизвестными во время повторной проверки подлинности. Например, если исходящий пакет повторно несанкционированен на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, все поля, относящиеся к интерфейсу прибытия, неизвестны. В этом случае значения неизвестных полей указываются как FWP_EMPTY.
Поля типа FWP_EMPTY можно сопоставить с FWP_MATCH_EQUAL. Поэтому политику можно задать для блокировки повторной проверки подлинности и отмены потока ALE при поступлении запросов повторной проверки подлинности для потока ALE.
Ожидание повторной проверки подлинности подключения
Драйвер выноски может отложить операцию классификации на уровнях ALE и завершить ее позже, когда решение о фильтрации можно безопасно сделать. Функция ALE отложена или завершена с помощью функций режима ядра FwpsPendOperation0 и FwpsCompleteOperation0.
Повторная авторизация активируется сразу после вызова FwpsCompleteOperation0, и позволяет драйверу выноски разрешать или блокировать поток.
Отложить можно только начальную авторизацию. Вызов FwpsPendOperation0 завершится ошибкой, если установлен флаг FWP_CONDITION_FLAG_IS_REAUTHORIZE.
Дополнительные сведения см. в документации комплекта драйверов Windows.
Связанные разделы