应用程序层强制 (ALE)

ALE 是一组Windows筛选平台 (WFP) 用于有状态筛选的内核模式层。

有状态筛选会跟踪网络连接的状态,并仅允许与已知连接状态匹配的数据包。 例如,从防火墙后面启动的 TCP 连接的有状态筛选只允许与受保护方发送的先前传出数据包匹配的传入数据包。

ALE 层中的筛选器授权入站和出站连接创建、端口分配 套接字操作(例如侦听 () 、原始套接字创建和混合模式接收。

ALE 层上的流量按连接或按套接字操作进行分类。 在非 ALE 层,筛选器只能按数据包对流量进行分类。

ALE 层是唯一一个可以使用安全描述符根据应用程序标识(使用规范化文件名)和基于用户标识筛选网络流量的 WFP 层。 (请参阅 WDK Windows 驱动程序工具包 (WDK) 文档中的 FLT 文件名信息,了解有关规范化 _ _ _ 文件名)

此外,当使用 IPsec 保护连接时,还可以对远程计算机标识和远程用户标识执行 ALE 层筛选。 远程计算机和用户标识从创建 IPsec 会话时所使用的凭据获取。

出于此原因,在 ALE 层创作了强制谁 (例如"管理员") 和/或允许应用程序 (例如"Internet Explorer") 执行上述网络操作的策略。

ALE 为策略提供强制,例如"Windows Messenger 在阻止所有其他应用程序的同时对网络进行所有访问"。 在此类示例中,当应用程序"Messenger"连接到网络时,ALE 捕获事件,确定该事件是由 Messenger 启动的,并查询 WFP 筛选器引擎以确定是否应该允许套接字继续。

备注

由于真正的双 IP 套接字的性质,IPv4 ALE 层上的分类可能不会发生。 这是设计使的,因为对于所有意向和目的,套接字都是 IPv6 套接字。 若要查看此类套接字的 V4 流量,请通过 IPv6 映射的地址在 V6 层创建筛选器。

ALE 层

ALE 有状态筛选

ALE 多播/广播流量

ALE 重新授权

ALE Flow自定义