次の方法で共有


アプリケーション層の適用 (ALE)

ALE は、ステートフル フィルター処理に使用される Windows フィルター プラットフォーム (WFP) カーネル モード レイヤーのセットです。

ステートフル フィルタリングは、ネットワーク接続の状態を追跡し、既知の接続状態に一致するパケットのみを許可します。 たとえば、ファイアウォールの内側から開始された TCP 接続のステートフル フィルター処理では、保護されたパーティによって送信された以前の送信パケットと一致する受信パケットのみを許可できます。

ALE レイヤーのフィルターは、受信接続と送信接続の作成、ポートの割り当て、 listen()、生のソケットの作成、無差別モードの受信などのソケット操作を承認します。

ALE レイヤーのトラフィックは、接続ごとまたはソケットごとの操作に分類されます。 ALE 以外のレイヤーでは、フィルターはパケット単位でのみトラフィックを分類できます。

ALE レイヤーは、セキュリティ記述子を使用して、正規化されたファイル名を使用し、ユーザー ID に基づいて、アプリケーション ID に基づいてネットワーク トラフィックをフィルター処理できる唯一の WFP レイヤーです。 (正規化されたファイル名の詳細については、Windows Driver Kit (WDK) ドキュメントの「FLT_FILE_NAME_INFORMATION」を参照してください)。

さらに、接続をセキュリティで保護するために IPsec を使用する場合、ALE レイヤーでのフィルター処理は、リモート コンピューター ID とリモート ユーザー ID でも実行できます。 リモート コンピューターとユーザー ID は、IPsec セッションの作成で使用される資格情報から取得されます。

このため、前述のネットワーク操作を実行できるユーザー ("管理者"など) やアプリケーション ("インターネット エクスプローラー" など) を強制するポリシーは、ALE レイヤーで作成されます。

ALE では、"他のすべてのアプリケーションをブロックしながら、Windows Messenger にネットワークへのすべてのアクセスを許可する" などのポリシーが適用されます。このような例では、アプリケーション "Messenger" がネットワーク経由で接続すると、ALE はイベントをトラップし、Messenger によって開始されたと判断し、WFP フィルター エンジンに対してクエリを実行して、ソケットの続行を許可するかどうかを判断します。

注意

真のデュアル IP ソケットの性質上、IPv4 ALE レイヤーでの分類は行われません。 これは設計上、すべての意図と目的のために、ソケットは IPv6 ソケットであるためです。 このようなソケットの V4 トラフィックを確認するには、IPv6 マップアドレスを使用して V6 レイヤーでフィルターを作成します。

 

ALE レイヤー

ALE ステートフル フィルター処理

ALE マルチキャスト/ブロードキャスト トラフィック

ALE 再認証

ALE フローのカスタマイズ