ALE 有状态筛选

在应用程序层上安装的筛选器将 () Windows 筛选平台 (WFP) 执行有状态网络筛选的 ALE 层。 Ale 流 用作 ale 有状态筛选的基础。

ALE 流是一种基于源 IP 地址、目标 IP 地址、源端口、目标端口和协议对网络通信进行分组的方法。 ALE 流可以是泛型,即一个或多个描述符可以匹配 (或通配符) 的所有内容 * 。 例如,一般的 UDP ALE 流被描述为源 IP 地址 = * 、目标 Ip 地址 = * 、源端口 = * 、目标端口 = * 和协议 = UDP。

授权连接后 (入站连接在 FWPM _ 层 _ _ _ _ _ | 上获得授权,并在 FWPM _ 层 ale authentication authentication _ _ _ CONNECT _ v {4 | 6} 层) 授权,则会创建 ALE 流,使其能够自动更改属于相同 ALE 流的所有数据包,即入站和出站。 由于策略更改可能需要阻止以前允许的连接,因此当策略发生更改时,ALE 流需要 重新授权

ALE 有状态筛选只对属于 ALE 流的第一个数据包进行分类可以减少所需分类的数目。 相比之下,非状态筛选需要对遍历网络的每个数据包进行分类。

ALE 流具有关联方向,该方向是流的第一个包的方向。 这样,就可以通过允许入站启动的连接与出站启动的连接具有不同的策略来实现更灵活的策略。

TCP ALE 流

TCP 流量的 ALE 流由 TCP/IP (源 IP 地址、目标 IP 地址、源端口、目标端口和协议) 的五个元组标识。

TCP ALE 流与连接的 TCP 套接字具有相同的生存期。 已连接的 TCP 套接字可以是使用 连接 () 创建的套接字,也可以是作为 接受 () 调用的结果而创建的套接字。

ALE 维持了 TCP ALE 流与 TCP 控制块 (TCB) 之间的一对一关系。

UDP ALE 流

备注

不是 TCP 或 ICMP 的协议处理方式类似于 UDP。

 

UDP 流量的 ALE 流由 TCP/IP (源 IP 地址、目标 IP 地址、源端口、目标端口和协议) 的五个元组标识。

UDP ALE 流基于 UDP 套接字创建,它表示应用程序与之通信的远程对等方。 远程对等方由 (目标 IP 地址和目标端口) 元组标识。

UDP 套接字与它所讨论的远程对等方之间存在一对多关系。

关闭本地 UDP 套接字后,所有与之关联的 ALE 流都将被删除。

如果没有插座闭包,UDP 单播 ALE 流的 可配置 空闲超时默认为60秒。 如果未在此窗口中发送或接收任何数据包,则 ALE 流将被删除。 当系统范围的 ALE 流数量达到特定阈值时,此默认超时值将逐渐缩短。

ICMP ALE 流

ICMP 流量的 ALE 流由六元组 (源 IP 地址、目标 IP 地址、ICMP 类型、ICMP 代码、协议和 ICMP ID) 标识。 ICMP ID 只是针对 ICMP echo/reply 流量的 ALE 流的一部分。

如果没有插座闭包,则 ICMP 单播 ALE 流的 可配置 空闲超时默认为60秒。 如果未在此窗口中发送或接收任何数据包,则 ALE 流将被删除。 当系统范围的 ALE 流数量达到特定阈值时,此默认超时值将逐渐缩短。

只有 ICMP 非错误消息会被指出给 ALE 层。 可在 ICMP 错误层检查 ICMP 错误消息 _ 。

应用程序层强制 (ALE)

ALE 层

ALE 多播/广播流量

ALE 重新授权

ALE 流自定义

TCP 数据包流

UDP 数据包流

Winsock 函数