Compartir a través de

Capas de ALE

  • Artículo

El cumplimiento de la capa de aplicación (ALE) consta de varias capas de filtrado y muchas capas de descarte coincidentes. Todas las capas del motor de filtrado de la Plataforma de filtrado de Windows (PMA), incluido ALE, se describen en Filtering Layer Identifiers (Identificadores de capa de filtrado). Este tema contiene una descripción más detallada de las capas de filtrado que forman parte de ALE.

RESOURCE_ASSIGNMENT

Un filtro en la capa FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V{4|6} coincide con las operaciones de enlace de red, explícitas o implícitas.

Si se coincide con un filtro en esta capa para autorizar la creación de sockets sin procesar, se establecerá la marca de FWP_CONDITION_FLAG_IS_RAW_ENDPOINT .

Si se coincide con un filtro en esta capa para autorizar la recepción del modo promiscuo, el campo FWP_CONDITION_ALE_PROMISCUOUS_MODE se establecerá en SIO_RCVALL. Para obtener una descripción de SIO_RCVALL, consulte WSAIoctl.

Nota

Esta es la única capa en la que se puede filtrar el modo promiscuo.

 

Si no se especifica ningún puerto durante bind(), es decir, el puerto se establece en 0 (cero), la pila TCP/IP seleccionará un puerto del intervalo de puertos dinámicos (19152-65535). El puerto seleccionado se clasificará en esta capa junto con la marca FWP_CONDITION_FLAG_IS_WILDCARD_BIND .

Si no se especifica la dirección local en la llamada bind(), el campo de dirección local se establece en FWP_EMPTY.

AUTH_LISTEN

Un filtro en la capa FWPM_LAYER_ALE_AUTH_LISTEN_V{4|6} coincide con las llamadas de escucha TCP().

AUTH_RECV_ACCEPT

Un filtro en la capa de FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} coincide con las llamadas TCP accept(), para los primeros paquetes UDP (unidifusión) desde una tupla única de dirección remota o puerto, y para los primeros mensajes ICMP entrantes (unidifusión) sin errores con un tipo, código e id. únicos ICMP.

Nota

Los protocolos que no son TCP o ICMP se tratan como UDP.

 

Los paquetes TCP recibidos por sockets sin procesar se controlan de forma similar al tráfico UDP. Es decir, solo se filtrarán el primer envío TCP() y el primer tcp recv() a través de sockets sin procesar.

AUTH_CONNECT

Un filtro en la capa FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} coincide con las llamadas tcp connect(), para los primeros paquetes UDP enviados a una dirección remota única y tupla de puerto, y para los primeros mensajes ICMP de salida que no son de error con un tipo icMP único, código e identificador.

Nota

Los protocolos que no son TCP o ICMP se tratan como UDP.

 

Los paquetes TCP enviados por sockets sin procesar se controlan de forma similar al tráfico UDP. Es decir, solo se filtrarán el primer envío TCP() y el primer tcp recv() a través de sockets sin procesar.

FLOW_ESTABLISHED

Un filtro en la capa FWPM_LAYER_ALE_FLOW_ESTABLISHED_V{4|6} coincide después de que se haya completado correctamente un protocolo de enlace de tres vías TCP. En el caso del tráfico que no es TCP, el filtro coincide inmediatamente después de que coincidan los filtros de AUTH_RECV_ACCEPTo AUTH_CONNECT capas.

Un filtro en esta capa no debe devolver Bloquear ni Permitir.

Los controladores de llamada usan esta capa para realizar un seguimiento del estado de conexión, que se describe con detalle en la documentación del Kit de controladores de Windows .

RESOURCE_RELEASE

Un filtro de la capa de FWPM_LAYER_ALE_RESOURCE_RELEASE_V{4|6} coincide después de que se hayan liberado los recursos asignados a través de RESOURCE_ASSIGNMENT .

ENDPOINT_CLOSURE

Un filtro en la capa FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V{4|6} coincide cuando se cierra un flujo TCP conectado o un punto de conexión de sockets UDP.

CONNECT_REDIRECT

Un filtro en la capa FWPM_LAYER_ALE_CONNECT_REDIRECT_V{4|6} permite la modificación de direcciones y puertos remotos. La conexión saliente se redirigirá durante la duración de esa conexión.

BIND_REDIRECT

Un filtro en la capa FWPM_LAYER_ALE_BIND_REDIRECT_V{4|6} permite modificar la dirección y los puertos locales del socket subyacente. El socket local se redirigirá durante la vigencia del socket.

Capas DE DESCARTE de ALE

Para cada una de las capas de ALE descritas anteriormente, el motor de filtrado contiene una capa de descarte coincidente. Las capas de descarte de ALE se usan mediante llamadas con fines de registro. Los paquetes e indicaciones que se han descartado en una de las capas de filtrado de ALE se indican en la capa de descarte de ALE correspondiente.

Aplicación de la capa de aplicación (ALE)

Filtrado con estado de ALE

Tráfico de multidifusión/difusión de ALE

Reautorización de ALE

Personalización del flujo de ALE

Flujos de paquetes TCP

Flujos de paquetes UDP

Funciones winsock

Marcas de condición de filtrado

Condiciones de filtrado disponibles en cada capa de filtrado