ALE 상태 저장 필터링

WFP (Windows 필터링 플랫폼)의 ALE (응용 프로그램 계층 적용) 계층에 설치 된 필터는 상태 저장 네트워크 필터링을 수행 합니다. Ale 흐름 은 ale 상태 저장 필터링의 기반으로 사용 됩니다.

ALE 흐름은 네트워크 트래픽을 원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜을 기준으로 그룹화 하 여 분류 하는 방법입니다. ALE 흐름은 제네릭일 수 있습니다. 하나 이상의 설명자가 모든 (또는 와일드 카드)와 일치할 수 있습니다 * . 예를 들어 일반 UDP ALE 흐름은 원본 IP 주소 = * , 대상 Ip 주소 = * , 원본 포트 = * , 대상 포트 = * 및 프로토콜 = UDP로 설명 됩니다.

연결이 승인 되 면 ( FWPM _ 계층 ale _ _ 인증 _ 수신 _ _ | 에서 인바운드 연결을 허용 하 고 FWPM _ 계층 _ ale _ 인증 _ 연결 _ v { | 4 6} 계층에서 아웃 바운드 연결), 동일한 ale 흐름에 속하는 정책 변경, 모든 패킷, 인바운드 및 아웃 바운드 연결을 자동으로 허용 하도록 ale 흐름이 만들어집니다. 정책 변경으로 인해 이전에 허용 된 연결을 차단 해야 할 수도 있으므로 정책 변경이 발생 하면 ALE 흐름을 다시 인증 해야 합니다.

ALE 상태 저장 필터링은 ALE 흐름에 속하는 첫 번째 패킷만 분류 하 여 필요한 분류의 수를 대폭 줄입니다. 반면, 상태 비저장 필터링에는 네트워크를 통과 하는 모든 패킷의 분류가 필요 합니다.

ALE 흐름에는 흐름의 첫 번째 패킷 방향에 해당 하는 방향이 연결 되어 있습니다. 이렇게 하면 인바운드 시작 된 연결에서 아웃 바운드 시작 된 연결의 다른 정책을 포함 하도록 허용 하 여 보다 유연한 정책을 사용할 수 있습니다.

TCP ALE 흐름

TCP 트래픽에 대 한 ALE 흐름은 TCP/IP의 5 튜플 (원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜)으로 식별 됩니다.

TCP ALE 흐름은 연결 된 TCP 소켓과 수명이 동일 합니다. 연결 된 TCP 소켓은 connect () 를 사용 하 여 만든 소켓 이거나 accept () 호출의 결과로 생성 된 소켓이 될 수 있습니다.

ALE는 TCP ALE 흐름과 TCP 제어 블록 (TCB) 간에 일대일 관계를 유지 합니다.

UDP ALE 흐름

참고

TCP 또는 ICMP가 아닌 프로토콜은 UDP와 같이 처리 됩니다.

 

UDP 트래픽에 대 한 ALE 흐름은 TCP/IP의 5 튜플 (원본 IP 주소, 대상 IP 주소, 원본 포트, 대상 포트 및 프로토콜)으로 식별 됩니다.

Udp ALE 흐름은 UDP 소켓을 기반으로 만들어지며 응용 프로그램이 통신 하는 원격 피어를 나타냅니다. 원격 피어는 (대상 IP 주소 및 대상 포트) 튜플로 식별 됩니다.

UDP 소켓과 통신 하는 원격 피어 간에는 일 대 다 관계가 있습니다.

로컬 UDP 소켓이 닫히면 연결 된 모든 ALE 흐름이 삭제 됩니다.

소켓 클로저가 없는 경우 UDP 유니캐스트 ALE 흐름은 기본적으로 60 초로 구성 가능한 유휴 시간 제한이 있습니다. 이 창에서 패킷을 보내거나 받지 않으면 ALE 흐름이 삭제 됩니다. 시스템 차원의 ALE 흐름 수가 특정 임계값에 도달 하면이 기본 시간 제한이 점차 줄어듭니다.

ICMP ALE 흐름

ICMP 트래픽에 대 한 ALE 흐름은 6 개 튜플 (원본 IP 주소, 대상 IP 주소, ICMP 종류, ICMP 코드, 프로토콜 및 ICMP ID)으로 식별 됩니다. ICMP ID는 ICMP echo/reply 트래픽용 으로만 ALE 흐름의 일부입니다.

소켓 클로저가 없는 경우 ICMP 유니캐스트 ALE 흐름은 기본적으로 60 초로 구성 가능한 유휴 시간 제한이 있습니다. 이 창에서 패킷을 보내거나 받지 않으면 ALE 흐름이 삭제 됩니다. 시스템 차원의 ALE 흐름 수가 특정 임계값에 도달 하면이 기본 시간 제한이 점차 줄어듭니다.

ICMP 오류가 아닌 메시지만 ALE 계층에 표시 됩니다. Icmp 오류 메시지는 ICMP 오류 계층에서 검사할 수 있습니다 _ .

응용 프로그램 계층 적용 (ALE)

ALE 계층

ALE 멀티 캐스트/브로드캐스트 트래픽

ALE 다시 인증

ALE 흐름 사용자 지정

TCP 패킷 흐름

UDP 패킷 흐름

Winsock 함수