Penerapan Lapisan Aplikasi (ALE)
ALE adalah sekumpulan lapisan mode kernel Windows Filtering Platform (WFP) yang digunakan untuk pemfilteran stateful.
Pemfilteran stateful melacak status koneksi jaringan dan hanya memungkinkan paket yang cocok dengan status koneksi yang diketahui. Misalnya, pemfilteran stateful untuk koneksi TCP yang dimulai dari belakang firewall hanya dapat memungkinkan paket masuk yang cocok dengan paket keluar sebelumnya yang dikirim oleh pihak yang dilindungi.
Filter di lapisan ALE mengotorisasi pembuatan koneksi masuk dan keluar, penetapan port, operasi soket seperti listen(), pembuatan soket mentah, dan penerimaan mode promiscuous.
Lalu lintas di lapisan ALE diklasifikasikan baik per koneksi atau operasi per soket. Pada lapisan non-ALE, filter hanya dapat mengklasifikasikan lalu lintas per paket.
Lapisan ALE adalah satu-satunya lapisan WFP di mana lalu lintas jaringan dapat difilter berdasarkan identitas aplikasi—menggunakan nama file yang dinormalisasi—dan berdasarkan identitas pengguna—menggunakan deskriptor keamanan. (Lihat FLT_FILE_NAME_INFORMATION dalam dokumentasi Windows Driver Kit (WDK), untuk informasi selengkapnya tentang nama file yang dinormalisasi.)
Selain itu, ketika IPsec digunakan untuk mengamankan koneksi, pemfilteran pada lapisan ALE juga dapat dilakukan pada identitas komputer jarak jauh dan pada identitas pengguna jarak jauh. Komputer jarak jauh dan identitas pengguna diperoleh dari kredensial yang digunakan dalam pembuatan sesi IPsec.
Untuk alasan ini, kebijakan yang memberlakukan siapa (misalnya, "administrator") dan/atau aplikasi mana (misalnya, "Internet Explorer") diizinkan untuk melakukan operasi jaringan yang disebutkan di atas ditulis di lapisan ALE.
ALE menyediakan penegakan kebijakan seperti "izinkan Windows Messenger semua akses ke jaringan sambil memblokir semua aplikasi lain." Dalam contoh seperti itu, ketika aplikasi "Messenger" terhubung di seluruh jaringan, ALE menjebak peristiwa, menentukan bahwa itu dimulai oleh Messenger dan meminta mesin filter WFP untuk menentukan apakah soket harus diizinkan untuk melanjutkan.
Catatan
Karena sifat soket IP ganda yang benar, klasifikasi di lapisan IPv4 ALE mungkin tidak terjadi. Ini dirancang, karena untuk semua niat dan tujuan, soket adalah soket IPv6. Untuk melihat lalu lintas V4 untuk soket seperti itu, buat filter di lapisan V6 menggunakan alamat yang dipetakan IPv6.
Topik terkait