Reautorización de ALE
El tráfico de red en las capas de cumplimiento de la capa de aplicación (ALE) de la Plataforma de filtrado de Windows (PMA) se filtra por los flujos de ALE. Una vez que se ha permitido un flujo de ALE, se permite todo el tráfico que forma parte del flujo de ALE. La reautorización es una solicitud para validar los permisos del flujo de ALE, normalmente debido a un cambio en la directiva de red.
A los flujos de ALE se les asigna una dirección, entrante o saliente, en función de la dirección del primer paquete que desencadenó la creación y autorización del flujo. Los flujos de ALE entrantes se crean y autorizan en la capa de FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} . Los flujos de ALE salientes se crean y autorizan en la capa de FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} . La dirección del flujo de ALE no limita la dirección de los paquetes que pertenecen al flujo. Los flujos de ALE contienen paquetes entrantes y salientes, independientemente de la dirección del propio flujo de ALE.
La reautorización de un flujo de ALE se desencadena mediante:
- Un cambio de directiva en la capa en la que el flujo de ALE se autorizó o creó originalmente.
- Interfaz de llegada diferente de la interfaz en la que el flujo de ALE se autorizó o creó originalmente.
- Una conexión pendiente.
La reautorización se distingue de la autorización inicial por la presencia de la marca FWP_CONDITION_FLAG_IS_REAUTHORIZE .
La reautorización solo se puede realizar en las capas FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} y FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .
Reautorización de cambio de directiva
Un cambio de directiva se implementa como una adición o eliminación de filtros en una capa de ALE. Una vez detectado un cambio de directiva, se especificará el primer paquete que atraviesa un flujo de ALE creado en la capa afectada para la reautorización a la capa. Por lo tanto, para la reautorización es totalmente posible que un paquete de salida se clasifique en la capa FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} y que un paquete entrante se clasifique en la capa FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .
Una razón para esta clasificación de dirección mixta es que es posible que no haya tráfico de red adicional desde la dirección original (por ejemplo, el paquete entrante para el flujo de ALE entrante). Un ejemplo de este tipo es el streaming UDP unidireccional después de un protocolo de enlace bidireccional inicial. En este caso, es más conveniente anular el streaming lo antes posible.
Reautorización de la interfaz de llegada
La reautorización de la interfaz de llegada está disponible a partir de Windows Server 2008 y Windows Vista con Service Pack 1 (SP1).
Los paquetes que pertenecen al mismo flujo de ALE pueden llegar desde varias interfaces. El primer paquete que se va a entrar a través de una interfaz diferente de la interfaz original del flujo de ALE se vuelve a autorizar.
En un modelo de host seguro, que es el modelo de seguridad predeterminado para la pila TCP/IP, una conexión en una interfaz de red acepta solo paquetes que entran en la misma interfaz. Por lo tanto, la reautorización de la interfaz de llegada no se usa en un equipo host seguro.
En un modelo de host débil, una conexión en una interfaz de red permite que los paquetes entren en cualquier otra interfaz de red. La reautenticación de la interfaz de llegada se usa en un equipo host débil para implementar directivas específicas de la interfaz. Para obtener más información, vea "The Cable Guy: Strong and Weak Host Models".
Algunos campos clasificables pueden ser desconocidos durante la reautorización. Por ejemplo, si se vuelve a autorizar un paquete saliente en la capa FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , se desconocen todos los campos que pertenecen a la interfaz de llegada. En ese caso, los valores de los campos desconocidos se indican como FWP_EMPTY.
Los campos de tipo FWP_EMPTY pueden coincidir con FWP_MATCH_EQUAL. Por lo tanto, se puede establecer una directiva para bloquear las reautorizaciones y anular un flujo de ALE cuando llegan las solicitudes de reautorización para el flujo de ALE.
Reautorización de conexión pendiente
Un controlador de llamada puede posponer una operación de clasificación en capas de ALE y completarla más adelante, cuando se pueda tomar la decisión de filtrado de forma segura. La funcionalidad posponer/completar de ALE se admite a través de las funciones en modo kernel FwpsPendOperation0 y FwpsCompleteOperation0.
La reautorización se desencadena inmediatamente después de la llamada FwpsCompleteOperation0 y permite que el controlador de llamada permita o bloquee el flujo.
Solo se puede posponer una autorización inicial. Se producirá un error en una llamada a FwpsPendOperation0 si se establece FWP_CONDITION_FLAG_IS_REAUTHORIZE marca.
Para obtener más información, consulte la documentación del Kit de controladores de Windows .
Temas relacionados