Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Filtre tahkimi, ağ trafiği filtreleme kararları alırken filtrelerin birbirleriyle nasıl etkileşim kurduğunu belirlemek için kullanılan Windows Filtreleme Platformu'na (WFP) yerleşik mantıktır.
Tahkim Davranışlarını Filtrele
Aşağıdaki davranışlar filtre tahkim sistemini karakterize eder:
- Tüm trafik denetlenebilir. Hiçbir trafik belirli bir katmandaki filtreleri atlayabilir.
- Trafik, daha yüksek öncelikli bir filtre izin verilse bile Veto yoluyla açıklama balonu filtresi tarafından engellenebilir.
- Birden çok sağlayıcı trafiği aynı katmanda inceleyebilir. Örneğin, güvenlik duvarının ardından izinsiz giriş algılama sistemi (IDS) filtreleri veya IPsec ve ardından Hizmet Kalitesi (QoS) filtreleri trafiği aynı katmanda inceler.
Filtre Modeli
Her filtre katmanı, önceliğe göre sıralanmış alt katmanlara ayrılır (ağırlık olarak da adlandırılır). Ağ trafiği, alt katmanları en yüksek öncelikten en düşük önceliğe geçirerek. Alt katmanlar, geliştiriciler tarafından WFP API'sini kullanarak oluşturulur ve yönetilir.
Her alt katmanda filtreler ağırlığa göre sıralanır. Ağ trafiği, en yüksek ağırlıktan en düşük ağırlığa kadar eşleşen filtrelerle gösterilir.
Filtre tahkim algoritması bir katmandaki tüm alt katmanlara uygulanır ve tüm alt katmanlar değerlendirildikten sonra son filtreleme kararı alınır. Bu, birden çok eşleştirme özelliği sağlar.
Bir alt katmanda filtre tahkimi aşağıdaki gibi gerçekleştirilir:
- En yüksekten en düşüğe kadar ağırlığa göre sıralanmış eşleşen filtrelerin listesini hesapla.
- "İzin Ver" veya "Engelle" döndürülene kadar (filtreler de "Devam" döndürebilir) veya liste tükenene kadar eşleşen filtreleri sırayla değerlendirin.
- Kalan filtreleri atlayın ve son değerlendirilen filtreden eylemi döndürün.
Bir katmanda filtre tahkimi aşağıdaki gibi gerçekleştirilir:
- En yüksek öncelikliden en düşük önceliğe kadar her alt katmanda filtre tahkimi gerçekleştirin.
- Daha yüksek öncelikli bir alt katman trafiği engellemeye karar vermiş olsa bile tüm alt katmanları değerlendirin.
- Aşağıdaki bölümde açıklanan ilke kurallarına göre sonuçta elde edilen eylemi döndürebilirsiniz.
Aşağıdaki diyagramda örnek bir alt katman yapılandırması gösterilmektedir. Dış kutular katmanları gösterir. İç kutular, filtre içeren alt katmanları temsil eder. Filtredeki joker karakter (*) tüm trafiğin filtreyle eşleşir.
Bir filtrenin atlanması için tek yol, daha yüksek bir ağırlık filtresinin aynı alt katmandaki trafiğe izin verdiği veya trafiği engellediğidir. Buna karşılık, filtrenin bir katmandaki tüm trafiği her zaman görmesini sağlamanın bir yolu, tüm trafikle eşleşen tek bir filtre içeren bir alt katman eklemektir.
Yapılandırılabilir Geçersiz Kılma İlkesi
Aşağıda açıklanan kurallar, tahkim kararlarını bir katman içinde yönetir. Bu kurallar, ağ trafiğine hangi alt katman eylemlerinden birinin uygulandığına karar vermek için filtre altyapısı tarafından kullanılır.
Temel ilke aşağıdaki gibidir.
- Eylemler, en yüksek önceliğe ve en düşük önceliğe kadar alt katmanların öncelik sırasına göre değerlendirilir.
- "Engelle" "İzin Ver" öğesini geçersiz kılar.
- "Engelle" sondur (geçersiz kılınamaz) ve değerlendirmeyi durdurur. Paket atılır.
Temel ilke, güvenlik duvarı tarafından geçersiz kılınmayan özel durum senaryolarını desteklemez. Bu tür senaryoların tipik örnekleri şunlardır:
- Üçüncü taraf güvenlik duvarının varlığında bile uzaktan yönetim bağlantı noktasının açılması gerekir.
- İşlev için bağlantı noktalarının açılmasını gerektiren bileşenler (örneğin, Evrensel Tak Çalıştır UPnP). Yönetici bileşeni açıkça etkinleştirdiyse, güvenlik duvarı trafiği sessizce engellememelidir.
Yukarıdaki senaryoları desteklemek için, bir filtreleme kararının geçersiz kılınması, eylem geçersiz kılma iznini yöneterek başka bir filtreleme kararından daha zor hale getirilmelidir. Bu izin, FWPS_RIGHT_ACTION_WRITE bayrağı olarak uygulanır ve filtre başına temelinde ayarlanır.
Değerlendirme algoritması geçerli eylemi ("İzin Ver" veya "Engelle") FWPS_RIGHT_ACTION_WRITE bayrağıyla birlikte korur. Bayrağı, düşük öncelikli bir alt katmanın eylemi geçersiz kılıp geçersiz kılmasına izin verilip verilmeyeceğini denetler. FWPS_CLASSIFY_OUT0 yapısında FWPS_RIGHT_ACTION_WRITE bayrağını ayarlayarak veya sıfırlayarak, eylemlerin nasıl geçersiz kılınabileceğini veya geçersiz kılınamayacağını sağlayıcı yönetir. Bayrak ayarlanırsa, eylemin geçersiz kılınabileceğini gösterir. Bayrak yoksa, eylem geçersiz kılınamaz.
| Eylem | Geçersiz kılmaya izin ver (FWPS_RIGHT_ACTION_WRITE ayarlandı) | Açıklama |
|---|---|---|
| Ruhsat | Evet | Trafik başka bir alt katmanda engellenebilir. Buna geçici izin denir. |
| Ruhsat | Hayır | Trafik başka bir alt katmanda yalnızca veto bir açıklama balonuyla engellenebilir. Buna zor izin denir. |
| Blok | Evet | Trafiğe başka bir alt katmanda izin verilebiliyor. Buna yumuşak blok denir. |
| Blok | Hayır | Trafiğe başka bir alt katmanda izin verilemez. Buna sert blok denir. |
Filtre eylemi, yapı FWPM_ACTION0türü üyesi FWP_ACTION_BLOCK veya FWP_ACTION_PERMITolarak ayarlanarak ayarlanabilir. Eylem türüyle birlikte, bir filtre FWPM_FILTER_FLAG_CLEAR_ACTION_RIGHTbayrağını da kullanıma sunar. Bu bayrak temizlenirse, eylem türü sabittir ve daha sonra açıklandığı gibi Veto tarafından zor izinlerin geçersiz kılındığı durumlar dışında geçersiz kılınamaz; aksi takdirde, yüksek öncelikli eylem tarafından geçersiz kılınabilen geçicidir.
Aşağıdaki tabloda filtre ve açıklama balonu eylemleri için varsayılan davranış listelenir.
| Eylem | Varsayılan Davranış |
|---|---|
| Filtre izni | Geçici izin |
| Belirtme çizgisi izni | Geçici izin |
| Filtre bloğu | Sabit blok |
| Açıklama balonu bloğu | Yumuşak blok |
Veto, filtre çağrılmadan önce FWPS_RIGHT_ACTION_WRITE bayrağı sıfırlandığında filtre tarafından döndürülen bir "Engelle" eylemidir. Veto, izin verilen trafiği engeller.
bir Veto yayımlandığında, yapılandırmada çakışma olduğunu gösterir. Çakışmayı azaltmak için aşağıdaki eylemler yapılır.
Trafik engellendi.
Bir denetim olayı oluşturulur.
Bir bildirim oluşturulur.
Not
Bildirim, abone olan tüm varlıklar tarafından alınır. Bu genellikle güvenlik duvarını (yanlış yapılandırmaları algılamak için) veya uygulamaları (belirli bir filtrenin geçersiz kılınmış olup olmadığını algılamak için) içerir.
Not
"Sabit İzin" filtresi geçersiz kılındığında örnek olarak atanan zorunlu kullanıcı arabirimi (UI) yoktur. Geçersiz kılma bildirimleri, güvenlik duvarlarının veya "İzin Ver" filtrelerini oluşturan uygulamaların kullanıcı eylemi isteyen kullanıcı arabirimini göstermesine izin veren, bunları almak üzere kayıtlı herhangi bir sağlayıcıya gönderilir. Sessizce engellemek istemeyen güvenlik duvarı ISV'leri WFP'de farklı bir yere kaydolarak veya (daha az tercih edilen) bir arama sürücüsünde tüm mantığını işleyerek bu geçersiz kılma olayları için platform kullanıcı arabirimi bildirimine sahip olmanın bir değeri yoktur. Kullanıcılara soru sormanın iyi bir fikir olduğunu düşünen ISV'ler, kullanıcı deneyimine sahip olmak ve kendi kullanıcı arabirimini oluşturmak isteyecektir.
Yukarıda açıklanan azaltma davranışı, "Sabit İzin" filtresinin "Engelle" filtresi tarafından sessizce geçersiz kılınmamasını sağlar ve uzaktan yönetim bağlantı noktasının güvenlik duvarı tarafından engellenmesine izin verilmediği senaryoyu kapsar. Bir güvenlik duvarının "Sabit İzin" filtrelerini sessizce geçersiz kılmak için filtrelerini daha yüksek öncelikli bir alt katmana eklemesi gerekir.
Not
Katmanlar arası tahkim olmadığından, "Sabit İzin" ile izin verilen trafik başka bir katmanda engellenebilir. Gerekirse her katmanda trafiğe izin vermek ilke yazarının sorumluluğundadır.
Bağlantı noktalarının açılmasını isteyen kullanıcı uygulamaları, düşük öncelikli bir alt katmana geçersiz kılınabilir filtreler ekler. Güvenlik duvarı, filtreye abone olarak bildirim olayları ekleyebilir ve kullanıcı (veya ilke) doğrulamasından sonra eşleşen bir filtre ekleyebilir.