ALE 层

应用程序层强制 (ALE) 由多个筛选层和多个匹配丢弃层构成。 筛选 层标识符中描述了所有 Windows 筛选平台 (WFP) 筛选引擎层,包括 ALE。 本主题包含有关 ALE 中的筛选层的更详细说明。

资源 _ 分配

FWPM _ 层 _ ALE _ 资源 _ 分配 _ V {4 | 6}层的筛选器与网络绑定操作(显式或隐式)相匹配。

如果此层上的筛选器与授权原始套接字创建的匹配,则将设置 .Fwp _ 条件 _ 标志 _ _ _

如果此层上的筛选器与进行的授权混合模式匹配, 则 _ 将 _ _ _ 设置为 SIO _ RCVALL。 有关 SIO RCVALL 的说明 _ ,请参阅 WSAIoctl

备注

这是唯一可以筛选混杂模式的层。

如果在 绑定 () 期间未指定端口,则端口设置为 0 (零) ,则 tcp/ip 堆栈将从动态端口范围中选择一个端口, (19152 – 65535) 。 所选端口将在此层上进行分类,并且 .Fwp _ 条件 _ 标志 _ 为 _ 通配符 _ 绑定 标志。

如果在 绑定 () 调用中未指定本地地址,则将 "本地地址" 字段设置为 " .fwp _ EMPTY"。

身份验证 _ 侦听

FWPM _ 层 _ ALE _ 身份验证 _ 侦听 _ V {4 | 6}层上的筛选器匹配 TCP 侦听 ()调用。

身份验证 _ 接收 _ 接受

FWPM 层 ALE authentication authentication _ _ _ _ _ ACCEPT accept _ V {4 | 6}层上的筛选器与 TCP 接受 ()调用、第一个 UDP 数据包 (单播) 来自唯一远程地址/端口元组,以及第一个入站非错误 icmp 消息 (使用唯一 ICMP 类型、代码和 ID 的单播) 。

备注

不是 TCP 或 ICMP 的协议处理方式类似于 UDP。

原始套接字接收的 TCP 数据包的处理方式类似于 UDP 流量。 也就是说,将仅筛选第一个 TCP send () 和第一个 tcp 接收 () over 原始套接字。

身份验证 _ 连接

FWPM 层 ALE authentication authentication _ _ _ _ CONNECT _ V {4 | 6}层上的筛选器与 TCP 连接 ()调用、发送到唯一远程地址和端口元组的第一个 UDP 数据包以及具有唯一 ICMP 类型、代码和 ID 的第一个出站非错误 ICMP 消息相匹配。

备注

不是 TCP 或 ICMP 的协议处理方式类似于 UDP。

原始套接字发送的 TCP 数据包的处理方式类似于 UDP 流量。 也就是说,将仅筛选第一个 TCP send () 和第一个 tcp 接收 () over 原始套接字。

已 _ 建立流

已成功完成 TCP 三向握手后, FWPM _ 层 _ ALE _ 流 _ 建立 _ | 的筛选器将匹配。 对于非 TCP 流量,筛选器将在与 auth _ 接收 _ 接受验证 _ 连接 层匹配的筛选器后立即匹配。

此层上的筛选器不应返回 Block 或 "允许"。

标注驱动程序使用此层来跟踪连接状态,如Windows 驱动程序工具包文档中所述。

资源 _ 释放

在释放通过 资源 _ 分配 分配的资源之后, FWPM _ 层 _ ALE _ 资源 _ 版本 _ V {4 | 6}层上的筛选器将匹配。

终结点 _ 闭包

当已连接的 TCP 流或 UDP 套接字终结点关闭时, FWPM _ 层 _ ALE _ 终结点 _ 关闭 _ V {4 | 6} 层上的筛选器将匹配。

连接 _ 重定向

FWPM _ 层 _ ALE _ 连接 _ 重定向 _ V {4 | 6}层上的筛选器允许修改远程地址和端口。 在该连接的持续时间内将重定向出站连接。

绑定 _ 重定向

FWPM _ 层 _ ALE _ 绑定 _ 重定向 _ V {4 | 6}层上的筛选器允许修改基础套接字的本地地址和端口。 在套接字的生存期内将重定向本地套接字

ALE 丢弃层

对于上面所述的每个 ALE 层,筛选引擎都包含匹配的丢弃层。 用于日志记录的标注使用 ALE 丢弃层。 在某一 ALE 筛选层上丢弃的数据包和指示会被指定到匹配的 ALE 丢弃层。

应用程序层强制 (ALE)

ALE 有状态筛选

ALE 多播/广播流量

ALE 重新授权

ALE Flow 自定义

TCP 数据包流

UDP 数据包流

Winsock 函数

筛选条件标志

筛选在每个筛选层可用的条件