Применение уровня приложений (ALE)
ALE — это набор уровней режима ядра платформы фильтрации Windows (МПП), которые используются для фильтрации с отслеживанием состояния.
Фильтрация с отслеживанием состояния сетевых подключений позволяет отслеживать только пакеты, соответствующие известному состоянию подключения. Например, фильтрация с отслеживанием состояния для TCP-подключения, инициированного за брандмауэром, может разрешить только входящие пакеты, соответствующие предыдущим исходящим пакетам, отправленным стороной, защищенной.
Фильтры в уровнях ALE авторизуют создание входящих и исходящих подключений, назначения портов, операции сокета, такие как прослушивание(), создание необработанного сокета и получение неоднозначного режима.
Трафик на уровнях ALE классифицируется как для каждого подключения, так и для каждой операции сокета. На уровнях, отличных от ALE, фильтры могут классифицировать трафик только на основе каждого пакета.
Уровни ALE — это единственные уровни МПП, в которых сетевой трафик можно фильтровать на основе удостоверения приложения с использованием нормализованного имени файла и на основе удостоверения пользователя с помощью дескриптора безопасности. (Дополнительные сведения о нормализованных именах файлов см. в документации FLT_FILE_NAME_INFORMATION по пакету драйверов Windows (WDK).
Кроме того, когда IPsec используется для защиты подключения, фильтрация на уровнях ALE также может выполняться на удаленном удостоверении компьютера и удостоверении удаленного пользователя. Удаленные удостоверения компьютера и пользователя получаются из учетных данных, используемых при создании сеанса IPsec.
По этой причине политики, которые обеспечивают выполнение указанных выше сетевых операций (например, "администратор") и(или) приложения (например, Internet Explorer), создаются на уровнях ALE.
ALE обеспечивает принудительное применение таких политик, как "разрешить Windows Messenger всем доступом к сети, блокируя все остальные приложения". В таком примере, когда приложение "Messenger" подключается через сеть, ALE перехватывает событие, определяет, что оно было инициировано Messenger и запрашивает подсистему фильтра МПП, чтобы определить, следует ли продолжить сокет.
Заметка
Из-за характера истинных сокетов с двумя IP-адресами классификации на уровне ALE IPv4 могут не возникать. Это по дизайну, так как для всех намерений и целей сокет является сокетом IPv6. Чтобы просмотреть трафик версии 4 для такого сокета, создайте фильтры на уровне V6 с помощью сопоставленного адреса IPv6.
Связанные разделы