WFP-Architektur
Die folgende Abbildung zeigt die grundlegende Architektur der Windows-Filterplattform (WFP).
Filtermodul
Das Filtermodul enthält eine Benutzermoduskomponente und eine Kernelmoduskomponente, die zusammen alle Filtervorgänge für Netzwerkdaten ausführt. Das Filtermodul enthält mehrere Filterebenen, die den Netzwerkstapelebenen des Betriebssystems lose zugeordnet sind. Die Filtermodul-Ebenen sind auf der Grundlage der Filtermodul-Komponente, die sie besitzt, in Benutzermodus- und Kernelmodus-Ebenen unterteilt.
Die Benutzermodus-Komponente führt RPC- und IPsec-Filterung durch. Das Filtermodul enthält ungefähr 10 Filterebenen im Benutzermodus.
Die Komponente im Kernelmodus führt die Filterung auf den Netzwerk- und Transportebenen des TCP/IP-Protokollstapels durch. Diese Komponente ruft auch die verfügbaren Callout-Funktionen während des Klassifizierungsprozesses auf. Das Filtermodul enthält ca. 50 Kernelmodus-Filterebenen.
Eine Beschreibung der einzelnen Filterschichten finden Sie unter Filtermodulbezeichner.
Basisfiltermodul
Das Basisfiltermodul (Base Filtering Engine, BFE) ein Dienst im Benutzermodus (bfe.dll, der in einem svchost.exe-Prozess läuft), der die WFP-Komponenten koordiniert. Die Hauptaufgaben, die von BFE ausgeführt werden, umfassen das Hinzufügen und Entfernen von Filtern aus dem System, das Speichern der Filterkonfiguration sowie die Sicherstellung der Sicherheit der WFP-Konfiguration. Anwendungen kommunizieren mit BFE über die WFP-Verwaltungsfunktionen.
Callout-Treiber
Callout-Treiber bieten zusätzliche Filterfunktionen, indem dem Filtermodul benutzerdefinierte Callout-Funktionen auf einer oder mehreren Kernelmodus-Filterebenen hinzugefügt werden. Erweiterungen unterstützen sowohl die verschärfte Inspektion als auch die Modifikation von Paketen und Datenströmen. Nachdem ein Callout-Treiber seine Callout-Funktionen dem Filtermodul hinzugefügt hat, können Filter, die die Callout-Funktion eines bestimmten Treibers angeben, zum Filterprozess hinzugefügt werden. Solche Filter können entweder von einer Verwaltungsanwendung im Benutzermodus oder vom Callout-Treiber selbst hinzugefügt werden. Die im Windows Development Kit bereitgestellte Kernelmodusschnittstelle sollte nur bei Bedarf und nicht als Ersatz für die Benutzermodus-API verwendet werden.
Anmerkung
Weitere Informationen zu Callout-Treibern finden Sie im Abschnitt „Windows-Filterplattform” des Windows Development Kit.
Die Windows-Filterplattform enthält eine Reihe integrierter Erweiterungsfunktionen, die zur sicheren IPsec-Datenkommunikation, Zustandsfiltereinstellungen und Filterung im Stealth-Modus verwendet werden können. Unter Integrierte Callout-Bezeichner finden Sie eine vollständige Liste der integrierten Callout-Funktionen.
Zugehörige Themen