Поделиться через

Сведения о платформе фильтрации Windows

  • Статья

Платформа фильтрации Windows (WFP) — это платформа обработки сетевого трафика, предназначенная для замены интерфейсов фильтрации сетевого трафика Windows XP и Windows Server 2003. ВПП состоит из набора перехватчиков в сетевом стеке и подсистемы фильтрации, которая координирует взаимодействие с сетевым стеком.

Компоненты МПП

Подсистема фильтрации

Базовая многоуровневая инфраструктура фильтрации, размещенная как в режиме ядра, так и в пользовательском режиме, заменяет несколько модулей фильтрации в сетевой подсистеме Windows XP и Windows Server 2003.

  • Фильтрует сетевой трафик на любом уровне в системе по всем полям данных, которые может предоставить оболочка.
  • Реализует фильтры выносок, вызывая выноски во время классификации.
  • Возвращает действия "Разрешить" или "Блокировать" оболочке, которая вызвала ее для принудительного применения.
  • Обеспечивает арбитраж между различными источниками политик. Например, определяет приоритет, если приложение настроено для защиты любого сетевого трафика, связанного с ним, но локальный брандмауэр настроен таким образом, чтобы предотвратить трафик, защищенный приложением.

Базовая подсистема фильтрации (BFE)

Служба, управляющая работой платформы фильтрации Windows. Он выполняет следующие задачи.

  • Принимает фильтры и другие параметры конфигурации для платформы.
  • Сообщает о текущем состоянии системы, включая статистику.
  • Принудительно применяет модель безопасности для принятия конфигурации на платформе. Например, локальный администратор может добавлять фильтры, но другие пользователи могут только просматривать их.
  • Переназначает параметры конфигурации другим модулям в системе. Например, политики согласования IPsec переходят к модулям ключей IKE/AuthIP, а фильтры — к подсистеме фильтров.

Оболочек совместимости

Компоненты режима ядра, которые находятся между сетевым стеком и подсистемой фильтрации. Оболочки принимают решение о фильтрации, классифицируя по подсистеме фильтрации. Ниже приведен список доступных оболочек.

  • Оболочка принудительного применения прикладного уровня (ALE).
  • Оболочка модуля транспортного слоя.
  • Оболочка модуля сетевого уровня.
  • Оболочка ошибки протокола ICMP.
  • Отменить оболочку.
  • Оболочка потока.

Выноски

Набор функций, предоставляемых драйвером и используемых для специализированной фильтрации. Помимо основных действий "Разрешить" и "Блокировать", выноски могут изменять и защищать входящий и исходящий сетевой трафик. Дополнительные сведения о выносках см. в разделе Драйверы выносок платформы фильтрации Windows в документации по комплекту драйверов Windows (WDK). ВПП предоставляются встроенные выноски, которые выполняют следующие задачи.

  • Выполнение обработки IPsec.
  • Настройте поведение фильтрации с отслеживанием состояния.
  • Фильтрация в скрытом режиме (автоматическое удаление пакетов, которые не были запрошены).
  • Управление разгрузкой дымохода TCP.
  • Взаимодействие со службой Teredo.


Подсистема фильтрации позволяет сторонним выноскам регистрироваться на каждом уровне режима ядра.

Программный интерфейс приложения

Набор типов данных и функций, доступных разработчикам для создания приложений фильтрации сети и управления ими. Эти типы данных и функции группируются в несколько наборов API.

Функции ВПП

  • Предоставляет инфраструктуру фильтрации пакетов, в которой независимые поставщики программного обеспечения (ISV) могут подключать специализированные модули фильтрации.
  • Работает с IPv4 и IPv6.
  • Позволяет фильтровать, изменять и повторно впрысить данные.
  • Выполняет как пакетную, так и потоковую обработку.
  • Позволяет включить фильтрацию пакетов для каждого приложения, пользователя и подключения в дополнение к сетевому интерфейсу или порту.
  • Обеспечивает безопасность во время загрузки до запуска базовой подсистемы фильтрации (BFE).
  • Включает фильтрацию подключений с отслеживанием состояния.
  • Обрабатывает данные, зашифрованные до и после IPsec.
  • Позволяет интегрировать политики фильтрации IPsec и брандмауэра.
  • Предоставляет инфраструктуру управления политиками для определения времени активации определенных фильтров. Это включает в себя медиатирование конфликтующих требований из нескольких фильтров, предоставляемых разными поставщиками.
  • Обрабатывает большинство операций повторной сборки пакетов и отслеживания состояния.
  • Включает универсальную систему уведомлений пользователей, которая информирует подписчиков об изменениях в системе фильтрации.
  • Реализует функции перечисления, которые сообщают о состоянии системы.
  • Использует сетевые события для записи ошибок IPsec и удалений пакетов.
  • Поддерживает вспомогательный класс Платформы диагностики сети (NDF).
  • Поддерживает расширения Secure Socket для API Winsock, которые позволяют сетевым приложениям защищать свой трафик путем настройки WFP.
  • На уровнях применения прикладного уровня (ALE) минимально влияет на производительность сети, обрабатывая только первый пакет в соединении.
  • Интегрирует аппаратную разгрузку, где модули выноски режима ядра могут использовать оборудование для выполнения проверки определенных пакетов.

Архитектура ВПП

Операция МПП

Применение прикладного уровня (ALE)

Конфигурация IPsec

Конфигурация ВПП

Мониторинг МПП

API ВПП