Поделиться через

О платформе фильтрации Windows

  • Статья

Платформа фильтрации Windows (МПП) — это платформа обработки сетевого трафика, предназначенная для замены интерфейсов фильтрации сетевого трафика Windows XP и Windows Server 2003. МПП состоит из набора хуков в сетевом стеке и подсистемы фильтрации, которая координирует взаимодействия с сетевым стеком.

Компоненты МПП

Подсистема фильтрации

Базовая инфраструктура фильтрации с несколькими слоями, размещенная как в режиме ядра, так и в пользовательском режиме, которая заменяет несколько модулей фильтрации в сетевой подсистеме Windows XP и Windows Server 2003.

  • Фильтрует сетевой трафик на любом уровне системы по любым полям данных, которые может предоставить шим.
  • Реализует фильтры типа "Callout" путем вызова подсказок во время классификации.
  • Возвращает действия "Разрешить" или "Блокировать" в прослойку, вызвавшую его для принудительного применения.
  • Обеспечивает арбитраж между различными источниками политики. Например, определяет приоритет, когда приложение настроено для защиты сетевого трафика, связанного с ним, но локальный брандмауэр настроен для предотвращения защищенного трафика приложения.

Базовый модуль фильтрации (BFE)

Служба, управляющая операцией платформы фильтрации Windows. Он выполняет следующие задачи.

  • Принимает фильтры и другие параметры конфигурации для платформы.
  • Сообщает текущее состояние системы, включая статистику.
  • Обеспечивает выполнение модели безопасности для принятия конфигурации в платформе. Например, локальный администратор может добавлять фильтры, но другие пользователи могут просматривать их только.
  • Настраивает параметры конфигурации для других модулей в системе. Например, политики согласования IPsec направляются в модули управления ключами IKE/AuthIP, фильтры направляются в модуль фильтрации.

Прокладки

Компоненты режима ядра, которые находятся между сетевым стеком и подсистемой фильтров. Шимы принимают решение о фильтрации путем классификации в соответствии с фильтровальным механизмом. Вот список доступных прокладок.

  • Промежуточная прослойка для принудительного применения уровня приложений (ALE).
  • Модуль шима транспортного слоя.
  • Шайба модуля сетевого уровня.
  • Ошибка протокола ICMP.
  • Удаление прокладки.
  • Прокладка для стрима.

Выноски

Набор функций, предоставляемых драйвером и используемый для специализированной фильтрации. Помимо основных действий "Разрешить" и "Блокировать", выноски могут изменять и защищать входящий и исходящий сетевой трафик. Дополнительные сведения о вызовах фильтрации Windows можно найти в разделе документации Комплекта драйверов Windows (WDK) о драйверах вызовов. МПП предоставляет встроенные выноски, которые выполняют следующие задачи.

  • Выполните обработку IPsec.
  • Настройте поведение фильтрации с отслеживанием состояния.
  • Выполните фильтрацию в режиме скрытия (автоматическое удаление пакетов, которые не были запрошены).
  • Управление разгрузкой дымохода TCP.
  • Взаимодействуйте со службой Teredo.


Механизм фильтрации позволяет сторонним расширениям регистрироваться на каждом из уровней режима ядра.

Интерфейс программирования приложений

Набор типов данных и функций, доступных разработчикам для создания приложений фильтрации сети и управления ими. Эти типы данных и функции группируются в несколько наборов API .

Функции МПП

  • Предоставляет инфраструктуру фильтрации пакетов, в которой независимые поставщики программного обеспечения (ISV) могут подключать специализированные модули фильтрации.
  • Работает с IPv4 и IPv6.
  • Позволяет выполнять фильтрацию, изменение и реинъекцию данных.
  • Выполняет обработку пакетов и потоков.
  • Позволяет включить фильтрацию пакетов для каждого приложения, пользователя и подключения в дополнение к сетевому интерфейсу или порту.
  • Обеспечивает безопасность во время загрузки до тех пор, пока не будет запущен базовый модуль фильтрации (BFE).
  • Включает фильтрацию подключений с отслеживанием состояния.
  • Обрабатывает данные как до, так и после шифрования IPsec.
  • Позволяет интегрировать политики фильтрации IPsec и брандмауэра.
  • Предоставляет инфраструктуру управления политиками, чтобы определить, следует ли активировать определенные фильтры. В это входит посредничество в решении конфликтующих требований из нескольких фильтров, предоставляемых различными поставщиками.
  • Обрабатывает большинство операций повторной сборки пакетов и отслеживание состояния.
  • Включает универсальную систему уведомлений пользователей, которая сообщает подписчикам об изменениях в системе фильтрации.
  • Реализует функции перечисления, которые сообщают о состоянии системы.
  • Использует сетевые события для записи ошибок IPsec и потери пакетов.
  • Поддерживает вспомогательный класс платформы диагностики сети(NDF).
  • Поддерживает расширения Secure Socket в API Winsock, что позволяет сетевым приложениям защитить свой трафик, настроив МПП.
  • На уровнях контроля приложений (ALE) минимально влияет на производительность сети, обрабатывая только первый пакет в соединении.
  • Интеграция аппаратной разгрузки, где вставные модули в режиме ядра могут использовать оборудование для выполнения определённых задач по проверке пакетов.

Архитектура WFP

операция МПП

Управление уровнем приложений (ALE)

Конфигурация IPsec

конфигурация МПП

мониторинг МПП

МПП API