Imposição da Camada de Aplicativo (ALE)
O ALE é um conjunto de camadas do modo kernel da Plataforma de Filtragem do Windows (WFP) que são usadas para filtragem com estado.
A filtragem com estado controla o estado das conexões de rede e permite apenas pacotes que correspondem a um estado de conexão conhecido. Por exemplo, a filtragem com estado para uma conexão TCP iniciada por trás de um firewall só pode permitir pacotes de entrada que correspondam aos pacotes de saída anteriores enviados pela parte protegida.
Os filtros nas camadas ALE autorizam a criação de conexão de entrada e saída, atribuições de porta, operações de soquete, como listen(), criação de soquete bruto e recebimento de modo promíscuo.
O tráfego nas camadas ALE é classificado por conexão ou por operação de soquete. Em camadas não ALE, os filtros só podem classificar o tráfego por pacote.
As camadas ALE são as únicas camadas WFP em que o tráfego de rede pode ser filtrado com base na identidade do aplicativo, usando um nome de arquivo normalizado e com base na identidade do usuário, usando um descritor de segurança. (Consulte FLT_FILE_NAME_INFORMATION na documentação do WDK (Kit de Driver do Windows), para obter mais informações sobre nomes de arquivo normalizados.)
Além disso, quando o IPsec é usado para proteger a conexão, a filtragem em camadas ALE também pode ser executada na identidade do computador remoto e na identidade do usuário remoto. O computador remoto e as identidades de usuário são obtidos das credenciais usadas na criação de uma sessão IPsec.
Por esse motivo, as políticas que impõem quem (por exemplo, "administrador") e/ou qual aplicativo (por exemplo, "Internet Explorer") têm permissão para executar as operações de rede mencionadas acima são criadas nas camadas ALE.
O ALE fornece imposição para políticas como "permitir que o Windows Messenger tenha acesso à rede enquanto bloqueia todos os outros aplicativos". Nesse exemplo, quando o aplicativo "Messenger" se conecta pela rede, o ALE intercepta o evento, determina que ele foi iniciado pelo Messenger e consulta o mecanismo de filtro WFP para determinar se o soquete deve ter permissão para continuar.
Observação
Devido à natureza dos soquetes de IP duplo verdadeiros, as classificações na camada ALE IPv4 podem não ocorrer. Isso ocorre por design, porque para todas as intenções e finalidades, o soquete é um soquete IPv6. Para ver o tráfego V4 para esse soquete, crie filtros na camada V6 usando o endereço mapeado IPv6.
Tópicos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de