Partager via

Architecture du PAM

  • Article

La figure suivante montre l’architecture de base de la plateforme de filtrage Windows (PAM).

architecture de base du diagramme de plateforme de filtrage windows

Moteur de filtre

Le moteur de filtre contient un composant en mode utilisateur et un composant en mode noyau, qui effectuent toutes les opérations de filtrage sur les données réseau. Le moteur de filtrage contient plusieurs couches de filtrage qui se mappent librement aux couches de la pile de mise en réseau du système d'exploitation. Les couches du moteur de filtre sont divisées en couches en mode utilisateur et en couches en mode noyau en fonction du composant du moteur de filtre qui les possède.

Le composant en mode utilisateur effectue le filtrage RPC et IPsec. Le moteur de filtre contient environ 10 couches de filtrage en mode utilisateur.

Le composant en mode noyau effectue un filtrage sur le réseau et les couches de transport de la pile TCP/IP. Ce composant appelle également les fonctions d'appel disponibles au cours du processus de classification. Le moteur de filtre contient environ 50 couches de filtrage en mode noyau.

Consultez Identificateurs de couche de filtrage pour obtenir une description de chacune des différentes couches du moteur de filtrage.

Moteur de filtrage de base

Le moteur de filtrage de base (BFE) est un service en mode utilisateur (bfe.dll s’exécutant dans un processus de svchost.exe) qui coordonne les composants du PAM. Les tâches principales effectuées par BFE ajoutent et suppriment des filtres du système, stockent la configuration des filtres et appliquent la sécurité de configuration PAM. Les applications communiquent avec le BFE par l'intermédiaire des fonctions de gestion du WFP.

Pilotes d'appel

Les pilotes d'appel fournissent des fonctionnalités de filtrage supplémentaires en ajoutant des fonctions d'appel personnalisées au moteur de filtrage au niveau d'une ou de plusieurs couches de filtrage en mode noyau. Les pilotes d'appel prennent en charge l'inspection approfondie et la modification des paquets et des flux Une fois qu'un pilote de rappel a ajouté ses fonctions de rappel au moteur de filtrage, des filtres qui spécifient la fonction de rappel d'un pilote donné peuvent être ajoutés au processus de filtrage. Ces filtres peuvent être ajoutés par une application de gestion en mode utilisateur ou par le pilote de callout lui-même. L’interface en mode noyau, fournie dans le Kit de développement Windows, ne doit être utilisée que si nécessaire et non comme substitut de l’API en mode utilisateur.

Remarque

Pour plus d'informations sur les pilotes d'appel, voir la section Plate-forme de filtrage Windows du kit de développement Windows.

 

La plateforme de filtrage Windows inclut un certain nombre de fonctions de rappel intégrées qui peuvent être utilisées pour la communication de données sécurisée avec IPsec, les réglages de filtrage avec état et le filtrage en mode furtif. Voir Identificateurs d'appel intégrés pour une liste complète des fonctions d'appel intégrées.

Modèle d'objet

L'opération du PAM

Pilotes d'appel de la plate-forme de filtrage Windows - Guide de conception

Pilotes d'appel de la plate-forme de filtrage Windows - Référence