ALE 계층

  • 아티클

ALE(애플리케이션 계층 적용)은 여러 필터링 계층과 일치하는 여러 삭제 계층으로 구성됩니다. ALE을 포함한 모든 WFP(Windows 필터링 플랫폼) 필터링 엔진 계층은 계층 식별자 필터링에 설명되어 있습니다. 이 항목에는 ALE의 일부인 필터링 계층에 대한 자세한 설명이 포함되어 있습니다.

RESOURCE_ASSIGNMENT

FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V{4|6} 계층의 필터는 명시적 또는 암시적 네트워크 바인딩 작업과 일치합니다.

이 계층의 필터가 일치하는 경우 원시 소켓 만들기 권한을 부여하면 FWP_CONDITION_FLAG_IS_RAW_ENDPOINT 플래그가 설정됩니다.

이 계층의 필터가 무차별 모드 수신에 권한을 부여하기 위해 일치하는 경우 FWP_CONDITION_ALE_PROMISCUOUS_MODE 필드가 SIO_RCVALL 설정됩니다. SIO_RCVALL 대한 설명은 WSAIoctl을 참조하세요.

참고

무차별 모드를 필터링할 수 있는 유일한 계층입니다.

 

bind() 중에 포트가 지정되지 않은 경우, 즉 포트가 0으로 설정된 경우 TCP/IP 스택은 동적 포트 범위(19152-65535)에서 포트를 선택합니다. 선택한 포트는 FWP_CONDITION_FLAG_IS_WILDCARD_BIND 플래그와 함께 이 계층에서 분류됩니다.

bind() 호출에서 로컬 주소를 지정하지 않으면 로컬 주소 필드가 FWP_EMPTY 설정됩니다.

AUTH_LISTEN

FWPM_LAYER_ALE_AUTH_LISTEN_V{4|6} 계층의 필터는 TCP listen() 호출과 일치합니다.

AUTH_RECV_ACCEPT

FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 계층의 필터는 TCP accept() 호출, 고유한 원격 주소/포트 튜플의 첫 번째 UDP 패킷(유니캐스트) 및 고유한 ICMP 형식, 코드 및 ID가 있는 첫 번째 인바운드 비오류 ICMP 메시지(유니캐스트)에 대해 일치합니다.

참고

TCP 또는 ICMP가 아닌 프로토콜은 UDP처럼 처리됩니다.

 

원시 소켓에서 받은 TCP 패킷은 UDP 트래픽과 유사하게 처리됩니다. 즉, 원시 소켓을 통해 첫 번째 TCP send() 및 첫 번째 TCP recv() 만 필터링됩니다.

AUTH_CONNECT

FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 계층의 필터는 TCP connect() 호출, 고유한 원격 주소 및 포트 튜플로 전송된 첫 번째 UDP 패킷, 고유한 ICMP 형식, 코드 및 ID가 있는 첫 번째 아웃바운드 비오류 ICMP 메시지에 대해 일치합니다.

참고

TCP 또는 ICMP가 아닌 프로토콜은 UDP처럼 처리됩니다.

 

원시 소켓에서 보낸 TCP 패킷은 UDP 트래픽과 유사하게 처리됩니다. 즉, 원시 소켓을 통해 첫 번째 TCP send() 및 첫 번째 TCP recv() 만 필터링됩니다.

FLOW_ESTABLISHED

TCP 3방향 핸드셰이크가 성공적으로 완료된 후 FWPM_LAYER_ALE_FLOW_ESTABLISHED_V{4|6} 계층의 필터가 일치합니다. TCP가 아닌 트래픽의 경우 AUTH_RECV_ACCEPT 또는 AUTH_CONNECT 계층의 필터가 일치한 직후 필터가 일치합니다.

이 계층의 필터는 차단 또는 허용을 반환해서는 안 됩니다.

이 계층은 설명선 드라이버에서 연결 상태를 추적하는 데 사용되며 Windows 드라이버 키트 설명서에 자세히 설명되어 있습니다.

RESOURCE_RELEASE

FWPM_LAYER_ALE_RESOURCE_RELEASE_V{4|6} 계층의 필터는 RESOURCE_ASSIGNMENT 통해 할당된 리소스가 해제된 후 일치합니다.

ENDPOINT_CLOSURE

연결된 TCP 흐름 또는 UDP 소켓 엔드포인트가 닫힌 경우 FWPM_LAYER_ALE_ENDPOINT_CLOSURE_V{4|6} 계층의 필터가 일치합니다.

CONNECT_REDIRECT

FWPM_LAYER_ALE_CONNECT_REDIRECT_V{4|6} 계층의 필터를 사용하면 원격 주소 및 포트를 수정할 수 있습니다. 아웃바운드 연결은 해당 연결 기간 동안 리디렉션됩니다.

BIND_REDIRECT

FWPM_LAYER_ALE_BIND_REDIRECT_V{4|6} 계층의 필터를 사용하면 기본 소켓의 로컬 주소와 포트를 수정할 수 있습니다. 로컬 소켓은 소켓의 수명 동안 리디렉션됩니다.

ALE DISCARD 계층

필터링 엔진 위에 설명된 각 ALE 계층에 대해 일치하는 삭제 계층이 포함됩니다. ALE 삭제 계층은 로깅을 위해 설명선에서 사용됩니다. ALE 필터링 계층 중 하나에서 삭제된 패킷 및 표시는 일치하는 ALE 삭제 계층에 표시됩니다.

ALE(애플리케이션 계층 적용)

ALE 상태 저장 필터링

ALE 멀티캐스트/브로드캐스트 트래픽

ALE 다시 인증

ALE 흐름 사용자 지정

TCP 패킷 흐름

UDP 패킷 흐름

Winsock 함수

조건 플래그 필터링

각 필터링 계층에서 사용할 수 있는 필터링 조건