Повторная авторизация ALE

Сетевой трафик на уровнях применения прикладного уровня (ALE) платформы фильтрации Windows (WFP) фильтруется по потокам ALE. После разрешения потока ALE будет разрешен весь трафик, который является частью потока ALE. Повторная проверка подлинности — это запрос на проверку разрешений потока ALE, как правило, из-за изменения политики сети.

Потокам ALE назначается направление, входящее или исходящее, в зависимости от направления первого пакета, который активировал создание и авторизацию потока. Входящие потоки ALE создаются и авторизоваться на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} . Исходящие потоки ALE создаются и авторизоваться на уровне FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} . Направление потока ALE не ограничивает направление пакетов, принадлежащих потоку. Потоки ALE содержат как входящие, так и исходящие пакеты независимо от направления самого потока ALE.

Повторная проверка подлинности потока ALE активируется:

  • Изменение политики на уровне, на котором поток ALE был первоначально авторизован или создан.
  • Интерфейс прибытия отличается от интерфейса, в котором поток ALE был первоначально авторизован или создан.
  • Ожидающее подключение.

Повторная авторизация отличается от первоначальной авторизации наличием флага FWP_CONDITION_FLAG_IS_REAUTHORIZE .

Повторная авторизации может выполняться только на уровнях FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} и FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Повторная авторизация для изменения политики

Изменение политики реализуется как добавление или удаление фильтра на уровне ALE. После обнаружения изменения политики первый пакет, который проходит поток ALE, созданный на затронутом уровне, будет указан для повторной проверки подлинности на слой. Таким образом, для повторной авторизации вполне возможно, что исходящий пакет классифицируется на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , а входящий пакет классифицируется на уровне FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} .

Одна из причин такой классификации со смешанным направлением заключается в том, что может не быть дальнейшего сетевого трафика из исходного направления (например, входящего пакета для входящего потока ALE). Одним из таких примеров является односторонняя потоковая передача UDP после первоначального двустороннего подтверждения. В этом случае желательно как можно скорее разорвать потоковую передачу.

Повторная авторизация интерфейса прибытия

Повторная проверка подлинности интерфейса прибытия доступна начиная с Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1).

Пакеты, принадлежащие одному потоку ALE, могут поступать из нескольких интерфейсов. Первый пакет, поступающий через интерфейс, отличный от исходного интерфейса потока ALE, повторно авторизован.

В модели строгого узла, которая является моделью безопасности по умолчанию для стека TCP/IP, подключение к сетевому интерфейсу принимает только пакеты, поступающие в тот же интерфейс. Таким образом, повторная авторизация интерфейса прибытия не используется на сильном хост-компьютере.

В слабой модели узла подключение к сетевому интерфейсу позволяет пакетам поступать в любой другой сетевой интерфейс. Повторная проверка подлинности интерфейса прибытия используется на слабом хост-компьютере для реализации политик, относящихся к интерфейсу. Дополнительные сведения см. в разделе The Cable Guy: Strong and Weak Host Models(The Cable Guy: Strong and Weak Host Models).

Некоторые классификируемые поля могут быть неизвестны во время повторной проверки подлинности. Например, если исходящий пакет повторно авторизован на уровне FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} , все поля, относящиеся к интерфейсу поступления, будут неизвестны. В этом случае значения неизвестных полей указываются как FWP_EMPTY.

Поля типа FWP_EMPTY можно сопоставить с FWP_MATCH_EQUAL. Таким образом, политику можно настроить так, чтобы блокировать повторные проверки подлинности и удалять поток ALE при поступлении запросов на повторную проверку подлинности для потока ALE.

Ожидание повторной проверки подлинности подключения

Драйвер выноски может отложить операцию классификации на уровнях ALE и завершить ее позже, когда можно будет безопасно принять решение о фильтрации. Функции ALE отложенной и полной поддержки поддерживаются функциями режима ядра FwpsPendOperation0 и FwpsCompleteOperation0.

Повторная авторизация активируется сразу после вызова FwpsCompleteOperation0 и позволяет драйверу выноски разрешить или заблокировать поток.

Отложить можно только начальную авторизацию. Вызов FwpsPendOperation0 завершится ошибкой, если установлен флаг FWP_CONDITION_FLAG_IS_REAUTHORIZE .

Дополнительные сведения см. в документации по комплекту драйверов Windows .

Применение прикладного уровня (ALE)

Уровни ALE

Фильтрация ALE с отслеживанием состояния

Многоадресный/широковещательный трафик ALE

Настройка потока ALE