訓練
ALE 層
應用層強制 (ALE) 是由數個篩選層和許多相符的捨棄層所組成。 篩選 層識別碼中會說明所有 Windows 篩選平台 () 篩選引擎層,包括 ALE。 本主題包含 ALE 一部分之篩選層的更詳細描述。
FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V{4|6}層的篩選準則會比對網路系結作業、明確或隱含。
如果此層的篩選準則符合授權原始通訊端建立,則會設定 FWP_CONDITION_FLAG_IS_RAW_ENDPOINT 旗標。
如果此層的篩選符合授權仲裁模式接收, 則 [FWP_CONDITION_ALE_PROMISCUOUS_MODE ] 欄位會設定為 [SIO_RCVALL]。 如需SIO_RCVALL的描述,請參閱 WSAIoctl。
注意
這是可以篩選非交集模式的唯一層。
如果在 bind () 期間未指定任何埠,也就是埠設定為 0 (零) ,則 TCP/IP 堆疊會從動態埠範圍 (19152–65535) 選取埠。 選取的埠將會在此層以及 FWP_CONDITION_FLAG_IS_WILDCARD_BIND 旗標中分類。
如果未在 bind () 呼叫中指定本機位址,本機位址欄位會設定為 FWP_EMPTY。
FWPM_LAYER_ALE_AUTH_LISTEN_V{4|6}層的篩選準則會比對 TCP接聽 () 呼叫。
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}層的篩選準則會比對 TCP accept () 呼叫、第一個 UDP 封包 (來自唯一遠端位址/埠 Tuple 的單播) ,以及第一個輸入非錯誤 ICMP 訊息, (具有唯一 ICMP 類型、程式碼和識別碼的單播) 。
注意
不是 TCP 或 ICMP 的通訊協定會被視為 UDP。
原始通訊端所接收的 TCP 封包處理方式與 UDP 流量類似。 也就是說,只會篩選第一個 TCP send () 和第一個透過原始通訊端的 TCP recv () 。
FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6}層的篩選準則會比對 TCP連線 () 呼叫、傳送至唯一遠端位址和埠 Tuple 的第一個 UDP 封包,以及第一個輸出非錯誤 ICMP 訊息,以及具有唯一 ICMP 類型、程式碼和識別碼的輸出非錯誤 ICMP 訊息。
注意
不是 TCP 或 ICMP 的通訊協定會被視為 UDP。
原始通訊端所傳送的 TCP 封包處理方式與 UDP 流量類似。 也就是說,只會篩選第一個 TCP send () 和第一個透過原始通訊端的 TCP recv () 。
在 TCP 三向交握成功完成之後,會比 對FWPM_LAYER_ALE_FLOW_ESTABLISHED_V{4|6} 層的篩選準則。 針對非 TCP 流量,篩選準則會在符合 來自AUTH_RECV_ACCEPT 或 AUTH_CONNECT層的 篩選之後立即比對。
此圖層的篩選不應傳回 Block 或 Permit。
圖說文字驅動程式會使用此層來追蹤線上狀態,如 Windows 驅動程式套件 檔中所述。
FWPM_LAYER_ALE_RESOURCE_RELEASE_V {4|6} 層的篩選準則會在透過 RESOURCE_ASSIGNMENT 配置的資源釋出之後進行比對。
關閉連線的 TCP 流程或 UDP 通訊端端點時,會比 對FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V{4|6} 層的篩選準則。
FWPM_LAYER_ALE_CONNECT_REDIRECT_V{4|6}層的篩選允許修改遠端位址和埠。 輸出連線將會在該連線的持續期間重新導向。
FWPM_LAYER_ALE_BIND_REDIRECT_V{4|6}層的篩選準則可讓您修改基礎通訊端的本機位址和埠。 本機通訊端將在通訊端存留期重新導向
針對上述每個 ALE 層,篩選引擎包含相符的捨棄層。 ALE 捨棄層是由圖說文字用於記錄用途。 已在其中一個 ALE 篩選層捨棄的封包和指示,會向相符的 ALE 捨棄層表示。