ALE 상태 저장 필터링
WFP(Windows 필터링 플랫폼)의 ALE(애플리케이션 계층 적용) 계층에 설치된 필터는 상태 저장 네트워크 필터링을 수행합니다. ALE 흐름은 ALE 상태 저장 필터링의 기초로 사용됩니다.
ALE 흐름은 원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜을 기반으로 그룹화하여 네트워크 트래픽을 분류하는 방법입니다. ALE 흐름은 제네릭일 수 있습니다. 즉, 설명자 중 하나 이상이 모든 항목(또는 와일드카드 *)과 일치할 수 있습니다. 예를 들어 일반 UDP ALE 흐름은 원본 IP 주소 = *, 대상 IP 주소 = *, 원본 포트 = *, 대상 포트 = *, 프로토콜 = UDP로 설명됩니다.
연결에 권한이 부여되면(FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 계층 및 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 계층의 아웃바운드 연결에서 인바운드 연결이 부여됨) ALE 흐름이 생성되므로 정책 변경을 금지하면 동일한 ALE 흐름에 속하는 모든 패킷, 인바운드 및 아웃바운드가 자동으로 허용됩니다. 정책 변경 시 이전에 허용된 연결을 차단해야 할 수 있으므로 정책 변경이 발생할 때 ALE 흐름을 다시 인증 해야 합니다.
ALE 상태 저장 필터링은 ALE 흐름에 속하는 첫 번째 패킷만 분류하여 필요한 분류 수를 크게 줄입니다. 이에 비해 상태 저장이 아닌 필터링에는 네트워크를 트래버스하는 모든 패킷의 분류가 필요합니다.
ALE 흐름에는 흐름의 첫 번째 패킷 방향인 연결된 방향이 있습니다. 이를 통해 인바운드 시작 연결이 아웃바운드 시작 연결과 다른 정책을 갖도록 허용하여 보다 유연한 정책을 사용할 수 있습니다.
TCP ALE 흐름
TCP 트래픽에 대한 ALE 흐름은 TCP/IP(원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜)의 5개 튜플로 식별됩니다.
TCP ALE 흐름의 수명은 연결된 TCP 소켓과 동일합니다. 연결된 TCP 소켓은 connect() 를 사용하여 만든 소켓이거나 accept() 호출의 결과로 생성된 소켓일 수 있습니다.
ALE은 TCP ALE 흐름과 TCB(TCP 제어 블록) 간의 일대일 관계를 유지합니다.
UDP ALE 흐름
참고
TCP 또는 ICMP가 아닌 프로토콜은 UDP처럼 처리됩니다.
UDP 트래픽에 대한 ALE 흐름은 TCP/IP(원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜)의 5개 튜플로 식별됩니다.
UDP ALE 흐름은 UDP 소켓을 기반으로 만들어지고 애플리케이션이 통신하는 원격 피어를 나타냅니다. 원격 피어는 (대상 IP 주소 및 대상 포트) 튜플로 식별됩니다.
UDP 소켓과 대화하는 원격 피어 간에는 일대다 관계가 있습니다.
로컬 UDP 소켓이 닫혀 있으면 연결된 모든 ALE 흐름이 삭제됩니다.
소켓 폐쇄가 없는 경우 UDP 유니캐스트 ALE 흐름에는 기본적으로 60초로 구성 가능한 유휴 시간 제한이 있습니다. 이 창 내에서 패킷을 보내거나 받지 않으면 ALE 흐름이 삭제됩니다. 이 기본 시간 제한은 시스템 전체의 ALE 흐름 수가 특정 임계값에 도달하면 점진적으로 단축됩니다.
ICMP ALE 흐름
ICMP 트래픽에 대한 ALE 흐름은 6개 튜플(원본 IP 주소, 대상 IP 주소, ICMP 유형, ICMP 코드, 프로토콜 및 ICMP ID)으로 식별됩니다. ICMP ID는 ICMP 에코/회신 트래픽에 대해서만 ALE 흐름의 일부입니다.
소켓 클로저가 없는 경우 ICMP 유니캐스트 ALE 흐름에는 기본값인 60초로 구성 가능한 유휴 시간 제한이 있습니다. 이 창 내에서 패킷을 보내거나 받지 않으면 ALE 흐름이 삭제됩니다. 이 기본 시간 제한은 시스템 전체의 ALE 흐름 수가 특정 임계값에 도달하면 점진적으로 단축됩니다.
ICMP 오류 메시지만 ALE 계층에 표시됩니다. ICMP 오류 메시지는 ICMP_ERROR 계층에서 검사할 수 있습니다.
관련 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기