ALE 重新授權
應用層強制執行的網路流量 (ALE) 層 Windows 篩選平台 () 會依 ALE 流程篩選。 一旦允許 ALE 流程,即允許屬於 ALE 流程的所有流量。 重新授權是驗證 ALE 流程許可權的要求,通常是因為網路原則變更。
ALE 流程會根據觸發流程建立和授權的第一個封包方向指派方向、輸入或輸出。 輸入 ALE 流程是在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層建立和授權。 輸出 ALE 流程是在 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層建立和授權。 ALE 流程的方向不會限制屬於流程的封包方向。 不論 ALE 流程本身的方向為何,ALE 流程都包含輸入和輸出封包。
ALE 流程的重新授權是由:
- ALE 流程最初獲授權或建立之層的原則變更。
- 與最初授權或建立 ALE 流程的介面不同。
- 擱置的連線。
重新授權與初始授權的區別是 FWP_CONDITION_FLAG_IS_REAUTHORIZE旗標 是否存在。
重新授權只能在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層和 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層進行。
原則變更重新授權
原則變更會實作為 ALE 層的篩選新增或移除。 偵測到原則變更之後,會指定周遊受影響層所建立之 ALE 流程的第一個封包,以便重新授權至圖層。 因此,若要重新授權,輸出封包完全可以分類在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層,而且輸入封包會分類在 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層。
這種混合方向分類的其中一個原因是原始方向 (可能沒有進一步的網路流量,例如輸入 ALE 流量的輸入封包) 。 其中一個範例是初始雙向交握之後的單向 UDP 串流。 在此情況下,最好儘快終止串流。
抵達介面重新授權
從 Windows Server 2008 和 Windows Vista service Pack 1 (SP1) 開始,即可使用抵達介面重新授權。
屬於相同 ALE 流程的封包可以從多個介面抵達。 重新授權來自與 ALE 流程原始介面不同的介面的第一個封包。
在強主機模型中,這是 TCP/IP 堆疊的預設安全性模型,網路介面上的連線只接受位於相同介面上的封包。 因此,在強式主機電腦上不會使用抵達介面重新授權。
在弱式主機模型中,網路介面上的連線允許任何其他網路介面上的封包傳入。 抵達介面重新授權是在弱式主機電腦上用來實作介面特定原則。 如需詳細資訊,請參閱 「纜線人員:強式和弱式主機模型」。
重新授權期間,某些 可分類的欄位 可能未知。 例如,如果在 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層重新授權輸出封包,則與抵達介面相關的所有欄位都是未知的。 在此情況下,未知欄位的值會以 FWP_EMPTY表示。
FWP_EMPTY類型的欄位可以與FWP_MATCH_EQUAL相符。 因此,原則可以設定為封鎖重新授權,並在重新授權 ALE 流程的要求送達時卸載 ALE 流程。
擱置的連線重新授權
圖說文字驅動程式可能會延後 ALE 層的分類作業,並在稍後完成篩選決策時安全地進行。 透過核心模式函式 FwpsPendOperation0 和 FwpsCompleteOperation0支援 ALE 延後/完整功能。
重新授權會在 FwpsCompleteOperation0 呼叫之後立即觸發,並允許圖說文字驅動程式允許或封鎖流程。
只有初始授權可以延後。 如果 已設定FWP_CONDITION_FLAG_IS_REAUTHORIZE 旗標,FwpsPendOperation0 的呼叫將會失敗。
如需詳細資訊,請參閱 Windows 驅動程式套件 檔。
相關主題