ALE(애플리케이션 계층 적용)

ALE은 상태 Windows 필터링에 사용되는 WFP(Windows 필터링 플랫폼) 커널 모드 계층 집합입니다.

상태 비지정 필터링은 네트워크 연결 상태를 추적하고 알려진 연결 상태와 일치하는 패킷만 허용합니다. 예를 들어 방화벽 뒤에서 시작된 TCP 연결에 대한 상태별 필터링은 보호된 당사자가 보낸 이전 나가는 패킷과 일치하는 들어오는 패킷만 허용할 수 있습니다.

ALE 계층의 필터는 인바운드 및 아웃바운드 연결 만들기, 포트 할당, listen()같은 소켓 작업, 원시 소켓 만들기 및 무차별 모드 수신 권한을 부여합니다.

ALE 계층의 트래픽은 연결당 또는 소켓당 작업으로 분류됩니다. 비 ALE 계층에서 필터는 패킷 단위로만 트래픽을 분류할 수 있습니다.

ALE 계층은 보안 설명자를 사용하여 정규화된 파일 이름을 사용하고 사용자 ID에 따라 애플리케이션 ID에 따라 네트워크 트래픽을 필터링할 수 있는 유일한 WFP 계층입니다. (FLT _ 참조 _ _ 정규화된 파일 이름에 대한 자세한 내용은 WDK(Windows Driver Kit) 설명서의 파일 이름 정보입니다.

또한 IPsec을 사용하여 연결을 보호하는 경우 ALE 계층에서 필터링을 원격 컴퓨터 ID 및 원격 사용자 ID에서 수행할 수도 있습니다. 원격 컴퓨터 및 사용자 ID는 IPsec 세션을 만드는 데 사용된 자격 증명에서 얻습니다.

이러한 이유로 위에서 언급한 네트워크 작업을 수행할 수 있는 사용자(예: "관리자") 및/또는 애플리케이션(예: "Internet Explorer")을 적용하는 정책은 ALE 계층에서 작성됩니다.

ALE은 "다른 모든 애플리케이션을 차단하면서 Windows Messenger가 네트워크에 액세스할 수 있도록 허용"과 같은 정책을 적용합니다. 이러한 예제에서 애플리케이션 "Messenger"가 네트워크를 통해 연결할 때 ALE은 이벤트를 트래핑하고, Messenger에 의해 시작되었는지 확인하고, WFP 필터 엔진을 쿼리하여 소켓을 계속 진행할 수 있는지 여부를 결정합니다.

참고

진정한 이중 IP 소켓의 특성으로 인해 IPv4 ALE 계층에서 분류가 발생하지 않을 수 있습니다. 이는 모든 의도 및 목적에 대해 소켓이 IPv6 소켓이기 때문에 의도된 것입니다. 이러한 소켓에 대한 V4 트래픽을 보려면 IPv6 매핑된 주소를 사용하여 V6 계층에서 필터를 만듭니다.

ALE 계층

ALE 상태 비지정 필터링

ALE 멀티캐스트/브로드캐스트 트래픽

ALE 다시 인증

ALE Flow 사용자 지정