Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Síťový provoz ve vrstvách Vynucování aplikační vrstvy (ALE) platformy WFP (Windows Filtering Platform) se filtruje podle toků ALE. Jakmile tok ALE povolíte, povolí se veškerý provoz, který je součástí toku ALE. Opětovná autorizace je žádost o ověření oprávnění toku ALE, obvykle kvůli změně zásad sítě.
Toky ALE se přiřazují směr, příchozí nebo odchozí provoz na základě směru prvního paketu, který aktivoval vytvoření a autorizaci toku. Příchozí toky ALE se vytvářejí a autorizovají v FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} vrstvě. Odchozí toky ALE se vytvářejí a autorizovají na FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} vrstvě. Směr toku ALE neomezuje směr paketů, které patří do toku. Toky ALE obsahují příchozí i odchozí pakety bez ohledu na směr samotného toku ALE.
Opětovné ověření toku ALE se aktivuje takto:
- Změna zásad ve vrstvě, ve které byl tok ALE původně autorizovaný nebo vytvořený.
- Rozhraní příjezdu se liší od rozhraní, kde byl tok ALE původně autorizovaný nebo vytvořený.
- Čekající připojení.
Opětovná autorizace se od počáteční autorizace odlišuje přítomností příznaku FWP_CONDITION_FLAG_IS_REAUTHORIZE.
Opětovné ověřování může probíhat pouze v FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} a FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} vrstvách.
Změna zásady – Opětovná autorizace
Změna zásad se implementuje jako přidání nebo odebrání filtru ve vrstvě ALE. Jakmile se zjistí změna zásad, první paket, který prochází tokem ALE vytvořeným v ovlivněné vrstvě, se určí pro opětovné ověření do vrstvy. Pro opětovné ověření je proto zcela možné, že odchozí paket je klasifikován na FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} vrstvě a že příchozí paket je klasifikován na FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} vrstvě.
Jedním z důvodů této klasifikace smíšených směrů je, že nemusí existovat další síťový provoz z původního směru (například příchozí paket pro příchozí tok ALE). Jedním z takových příkladů je jednosměrné streamování UDP po počáteční dvoucestné handshake. V tomto případě je žádoucí co nejdříve odbourat streamování.
Opětovné ověření rozhraní příjezdu
Od verze Windows Server 2008 a Windows Vista s aktualizací Service Pack 1 (SP1) je k dispozici opětovné ověřování rozhraní příjezdu.
Pakety patřící do stejného toku ALE můžou docházet z několika rozhraní. První paket, který se má přenést přes rozhraní, které se liší od původního rozhraní toku ALE, je znovu autorizováno.
V silném hostitelském modelu, což je výchozí model zabezpečení pro zásobník TCP/IP, připojení v síťovém rozhraní přijímá pouze pakety, které jsou součástí stejného rozhraní. Proto se na silném hostitelském počítači nepoužívá opětovné ověřování rozhraní příjezdu.
Ve slabém hostitelském modelu umožňuje připojení k síťovému rozhraní příchozí pakety v jakémkoli jiném síťovém rozhraní. Opětovné ověření rozhraní příjezdu se používá na slabém hostitelském počítači k implementaci zásad specifických pro rozhraní. Další informace najdete v tématu "The Cable Guy: Strong and Weak Host Models"
Některá klasifikovatelná pole mohou být během opětovného ověření neznámá. Pokud se například v FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} vrstvě převytváření odchozího paketu, jsou všechna pole týkající se rozhraní příjezdu neznámá. V takovém případě jsou hodnoty neznámých polí označeny jako FWP_EMPTY.
Pole typu FWP_EMPTY lze spárovat s FWP_MATCH_EQUAL. Proto je možné zásadu nastavit tak, aby blokovala opakované ověřování a při přijetí žádostí o opětovné ověření toku ALE tok ale zablokovala.
Čekající opětovné ověření připojení
Ovladač popisku může odložit operaci klasifikace ve vrstvách ALE a dokončit ji později, když je možné bezpečně provést rozhodnutí o filtrování. Funkce odložení/dokončení ale se podporuje prostřednictvím funkcí režimu jádra FwpsPendOperation0 a FwpsCompleteOperation0.
Opětovné ověření se aktivuje okamžitě po volání FwpsCompleteOperation0 a umožní ovladači popisku povolit nebo zablokovat tok.
Odložit lze pouze počáteční autorizaci. Volání FwpsPendOperation0 selže, pokud je nastaven příznak FWP_CONDITION_FLAG_IS_REAUTHORIZE.
Další informace najdete v dokumentaci Windows Driver Kit.
Související témata