次の方法で共有

フィルタリング レイヤー

  • [アーティクル]

フィルターレイヤーは、TCP/IP ネットワーク スタック内のポイントで、現在のフィルター セットと照合するのにネットワーク データがフィルター エンジンに渡されます。 ネットワーク スタック内の各フィルターレイヤーは、一意 のフィルターレイヤー識別子で識別されます。

フィルター エンジンにフィルターを追加すると、指定されたフィルター レイヤーに追加され、そこでネットワーク データがフィルター処理されます。 特定の データ フィールド は、そのレイヤーのフィルター エンジンに追加されたフィルターで処理するために、各フィルター レイヤーで使用可能です。 フィルター エンジンは、さらなる処理のためにネットワーク データを吹き出しに渡す場合、これらのデータ フィールドと、そのフィルターレイヤーで使用できるメタデータが含まれます。

実行時フィルターレイヤー識別子 (FWPS_XXX) は、カーネル モードの吹き出しドライバーで使用されます。 管理フィルターレイヤー識別子 (FWPM_XXX) は、ユーザー モードやカーネル モード (FwpmFilterAdd0など) から基本フィルター エンジン (BFE) と対話する FwpmXxx 関数で使用されます。

FWPS データ型は、FWPM に対応するデータ型よりも小さくなります。FWPM フィルターレイヤー識別子は GUID (128 ビット) ですが、FWPS フィルターレイヤー識別子は LUID(64 ビット) です。 FWPS データ型のサイズが小さいほど、整数比較はリアルタイム トラフィックの GUID 比較よりもすばやく、カーネル メモリは FWPS 型をより効率的に処理するため、システム パフォーマンスが向上します。