Applicazione livello applicazione (ALE)
ALE è un set di livelli in modalità kernel di Windows Filtering Platform (WFP) usati per il filtro con stato.
Il filtro con stato tiene traccia dello stato delle connessioni di rete e consente solo pacchetti che corrispondono a uno stato di connessione noto. Ad esempio, il filtro con stato per una connessione TCP avviata da dietro un firewall può consentire solo pacchetti in ingresso che corrispondono a pacchetti in uscita precedenti inviati dall'entità protetta.
I filtri nei livelli ALE autorizzano la creazione di connessioni in ingresso e in uscita, le assegnazioni di porte, le operazioni socket come listen(), la creazione di socket non elaborati e la ricezione della modalità promiscua.
Il traffico ai livelli ALE viene classificato per ogni connessione o operazione per socket. A livelli non ALE, i filtri possono classificare il traffico solo per pacchetto.
I livelli ALE sono gli unici livelli WFP in cui il traffico di rete può essere filtrato in base all'identità dell'applicazione, usando un nome file normalizzato e basato sull'identità utente, usando un descrittore di sicurezza. Per altre informazioni sui nomi di file normalizzati, vedere FLT_FILE_NAME_INFORMATION nella documentazione di Windows Driver Kit (WDK).
Inoltre, quando si usa IPsec per proteggere la connessione, è possibile eseguire filtri a livelli ALE anche sull'identità del computer remoto e sull'identità utente remota. Le identità del computer remoto e dell'utente vengono ottenute dalle credenziali usate nella creazione di una sessione IPsec.
Per questo motivo, i criteri che applicano chi (ad esempio , "amministratore") e/o quale applicazione (ad esempio, "Internet Explorer") possono eseguire le operazioni di rete indicate in precedenza vengono create ai livelli ALE.
ALE fornisce l'applicazione per i criteri, ad esempio "consentire a Windows Messenger l'accesso alla rete, bloccando tutte le altre applicazioni". In questo esempio, quando l'applicazione "Messenger" si connette attraverso la rete, ALE trapa l'evento, determina che è stato avviato da Messenger ed esegue una query sul motore di filtro WFP per determinare se il socket deve essere autorizzato a procedere.
Nota
A causa della natura di veri socket dual-IP, le classificazioni al livello ALE IPv4 potrebbero non verificarsi. Questo è per impostazione predefinita, perché per tutte le finalità e gli scopi, il socket è un socket IPv6. Per visualizzare il traffico V4 per un socket di questo tipo, creare filtri a livello V6 usando l'indirizzo mappato IPv6.
Argomenti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per