ALE 다시 인증
WFP(Windows 필터링 플랫폼)의 ALE(애플리케이션 계층 적용) 계층의 네트워크 트래픽은 ALE 흐름에 의해 필터링됩니다. ALE 흐름이 허용되면 ALE 흐름의 일부인 모든 트래픽이 허용됩니다. 재인증은 일반적으로 네트워크 정책의 변경으로 인해 ALE 흐름의 사용 권한에 대한 유효성을 검사하기 위한 요청입니다.
ALE 흐름에는 흐름의 생성 및 권한 부여를 트리거한 첫 번째 패킷의 방향에 따라 인바운드 또는 아웃바운드 방향이 할당됩니다. 인바운드 ALE 흐름은 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 계층에서 만들어지고 권한이 부여됩니다. 아웃바운드 ALE 흐름은 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 계층에서 만들어지고 권한이 부여됩니다. ALE 흐름의 방향은 흐름에 속하는 패킷의 방향을 제한하지 않습니다. ALE 흐름은 ALE 흐름 자체의 방향에 관계없이 인바운드 및 아웃바운드 패킷을 모두 포함합니다.
ALE 흐름의 재인증은 다음을 통해 트리거됩니다.
- ALE 흐름이 원래 권한이 부여되었거나 만들어진 계층의 정책 변경입니다.
- ALE 흐름이 원래 권한이 부여되었거나 만들어진 인터페이스와 다른 도착 인터페이스입니다.
- 보류 중인 연결입니다.
재인증은 FWP_CONDITION_FLAG_IS_REAUTHORIZE 플래그가 있으면 초기 권한 부여와 구별됩니다.
재인증은 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 및 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 계층에서만 수행할 수 있습니다.
정책 변경 재인증
정책 변경은 ALE 계층에서 필터 추가 또는 제거로 구현됩니다. 정책 변경이 감지되면 영향을 받는 계층에서 만든 ALE 흐름을 트래버스하는 첫 번째 패킷이 계층에 대한 재인증용으로 지정됩니다. 따라서 재인증의 경우 아웃바운드 패킷이 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 계층에서 분류되고 인바운드 패킷이 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 계층에서 분류되는 것이 전적으로 가능합니다.
이 혼합 방향 분류의 한 가지 이유는 원래 방향에서 추가 네트워크 트래픽이 없을 수 있기 때문입니다(예: 인바운드 ALE 흐름의 인바운드 패킷). 이러한 예 중 하나는 초기 양방향 핸드셰이크 후 단방향 UDP 스트리밍입니다. 이 경우 가능한 한 빨리 스트리밍을 중단하는 것이 더 바람직합니다.
도착 인터페이스 재인증
도착 인터페이스 재인증은 Windows Server 2008 및 Windows Vista SP1(서비스 팩 1)부터 사용할 수 있습니다.
동일한 ALE 흐름에 속하는 패킷은 여러 인터페이스에서 도착할 수 있습니다. ALE 흐름의 원래 인터페이스와 다른 인터페이스를 통해 들어오는 첫 번째 패킷이 다시 인증됩니다.
TCP/IP 스택의 기본 보안 모델인 강력한 호스트 모델에서 네트워크 인터페이스의 연결은 동일한 인터페이스에 들어오는 패킷만 허용합니다. 따라서 도착 인터페이스 재인증은 강력한 호스트 컴퓨터에서 사용되지 않습니다.
약한 호스트 모델에서 네트워크 인터페이스의 연결을 통해 다른 네트워크 인터페이스에서 들어오는 패킷을 허용합니다. 도착 인터페이스 재인증은 약한 호스트 컴퓨터에서 인터페이스별 정책을 구현하는 데 사용됩니다. 자세한 내용은 "케이블 가이: 강력하고 약한 호스트 모델"을 참조하세요.
일부 분류 가능한 필드는 다시 인증하는 동안 알 수 없습니다. 예를 들어 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 계층에서 아웃바운드 패킷을 다시 인증하는 경우 도착 인터페이스와 관련된 모든 필드를 알 수 없습니다. 이 경우 알 수 없는 필드의 값은 FWP_EMPTY 표시됩니다.
FWP_EMPTY 형식의 필드는 FWP_MATCH_EQUAL 일치시킬 수 있습니다. 따라서 ALE 흐름에 대한 재인증 요청이 도착하면 재인증 및 ALE 흐름 해제를 차단하도록 정책을 설정할 수 있습니다.
보류 중인 연결 재인증
설명선 드라이버는 ALE 계층에서 분류 작업을 연기하고 필터링 결정을 안전하게 내릴 수 있는 나중에 완료할 수 있습니다. ALE 연기/완료 기능은 커널 모드 함수 FwpsPendOperation0 및 FwpsCompleteOperation0을 통해 지원됩니다.
재인증은 FwpsCompleteOperation0 호출 직후에 트리거되며, 이를 통해 설명선 드라이버가 흐름을 허용하거나 차단할 수 있습니다.
초기 권한 부여만 연기할 수 있습니다. FWP_CONDITION_FLAG_IS_REAUTHORIZE 플래그가 설정된 경우 FwpsPendOperation0에 대한 호출이 실패합니다.
자세한 내용은 Windows 드라이버 키트 설명서를 참조하세요.
관련 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기