ALE(애플리케이션 계층 적용)
ALE은 상태 저장 필터링에 사용되는 WFP(Windows 필터링 플랫폼) 커널 모드 계층 집합입니다.
상태 저장 필터링은 네트워크 연결 상태를 추적하고 알려진 연결 상태와 일치하는 패킷만 허용합니다. 예를 들어 방화벽 뒤에서 시작된 TCP 연결에 대한 상태 저장 필터링은 보호된 당사자가 보낸 이전 나가는 패킷과 일치하는 들어오는 패킷만 허용할 수 있습니다.
ALE 계층의 필터는 인바운드 및 아웃바운드 연결 만들기, 포트 할당, listen()과 같은 소켓 작업, 원시 소켓 만들기 및 무차별 모드 수신에 권한을 부여합니다.
ALE 계층의 트래픽은 연결당 또는 소켓당 작업으로 분류됩니다. 비 ALE 계층에서 필터는 패킷당 트래픽만 분류할 수 있습니다.
ALE 계층은 보안 설명자를 사용하여 정규화된 파일 이름 및 사용자 ID를 기반으로 하는 애플리케이션 ID에 따라 네트워크 트래픽을 필터링할 수 있는 유일한 WFP 계층입니다. 정규화된 파일 이름에 대한 자세한 내용은 WDK(Windows 드라이버 키트) 설명서의 FLT_FILE_NAME_INFORMATION 참조하세요.
또한 IPsec을 사용하여 연결을 보호하는 경우 ALE 계층의 필터링은 원격 머신 ID 및 원격 사용자 ID에서도 수행할 수 있습니다. 원격 머신 및 사용자 ID는 IPsec 세션을 만드는 데 사용된 자격 증명에서 가져옵니다.
이러한 이유로 위에서 언급한 네트워크 작업을 수행할 수 있는 사용자(예: "관리자") 및/또는 애플리케이션(예: "인터넷 Explorer")을 적용하는 정책은 ALE 계층에서 작성됩니다.
ALE은 "다른 모든 애플리케이션을 차단하면서 Windows Messenger가 네트워크에 대한 모든 액세스를 허용"과 같은 정책을 적용합니다. 이러한 예제에서 애플리케이션 "Messenger"가 네트워크를 통해 연결될 때 ALE은 이벤트를 트래핑하고 Messenger가 시작한 것을 확인하고 WFP 필터 엔진을 쿼리하여 소켓을 진행할 수 있는지 여부를 확인합니다.
참고
진정한 이중 IP 소켓의 특성으로 인해 IPv4 ALE 계층의 분류는 발생하지 않을 수 있습니다. 이는 모든 의도와 목적을 위해 소켓이 IPv6 소켓이기 때문에 의도된 것입니다. 이러한 소켓에 대한 V4 트래픽을 보려면 IPv6 매핑 주소를 사용하여 V6 계층에서 필터를 만듭니다.
관련 항목