Применение уровня приложений (ALE)
ALE — это набор уровней в режиме ядра платформы фильтрации Windows (МПП), которые используются для фильтрации с отслеживанием состояния.
Фильтрация с отслеживанием состояния отслеживает состояние сетевых подключений и разрешает только пакеты, соответствующие известному состоянию подключения. Например, фильтрация с отслеживанием состояния для TCP-подключения, инициированного из-за брандмауэра, может разрешать только входящие пакеты, соответствующие предыдущим исходящим пакетам, отправленным стороной, защищенной стороной.
Фильтры на уровнях ALE авторизуют создание входящего и исходящего подключения, назначения портов, операции сокета, такие как listen(), создание необработанных сокетов и получение в неразборчивом режиме.
Трафик на уровнях ALE классифицируется по каждому подключению или по каждому сокету. На уровнях, отличных от ALE, фильтры могут классифицировать трафик только по каждому пакету.
Уровни ALE — это единственные уровни МПП, где сетевой трафик можно фильтровать на основе удостоверения приложения с помощью нормализованного имени файла и на основе удостоверения пользователя с помощью дескриптора безопасности. (Дополнительные сведения о нормализованных именах файлов см. в FLT_FILE_NAME_INFORMATION документации по пакету драйверов Windows (WDK).)
Кроме того, если для защиты подключения используется протокол IPsec, фильтрация на уровнях ALE также может выполняться по удостоверению удаленного компьютера и удаленному удостоверению пользователя. Удостоверения удаленного компьютера и пользователя получаются из учетных данных, используемых при создании сеанса IPsec.
По этой причине политики, которые определяют, кому (например, "администратор") и (или) приложению (например, "Интернет-Обозреватель") разрешено выполнять сетевые операции, упомянутые выше, создаются на уровнях ALE.
ALE обеспечивает принудительное применение политик, таких как "Разрешить Windows Messenger весь доступ к сети, блокируя все остальные приложения". В таком примере, когда приложение Messenger подключается по сети, ALE перехватывает событие, определяет, что оно было инициировано Messenger, и запрашивает подсистему фильтров МПП, чтобы определить, следует ли разрешить сокет продолжать работу.
Примечание
Из-за природы истинных сокетов с двумя IP-адресами классификации на уровне IPv4 ALE могут не выполняться. Это по умолчанию, так как для всех намерений и целей сокет является сокетом IPv6. Чтобы просмотреть трафик версии 4 для такого сокета, создайте фильтры на уровне V6, используя сопоставленный адрес IPv6.
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по