数据包检查点

传入数据包

发往接收计算机的地址的传入数据包 (本地主机流量) 按以下顺序遍历 WFP 层:

IP 数据包 (网络层)
所有 IP 数据包(包括 IP 数据包片段)都可以在此层进行检查。 但是,当数据包受 IPsec 保护时,无法在此层执行深层内容检查或修改,因为这些数据包尚未经过身份验证或解密。

传输层
所有独立或完全重新组合的数据包都可以在此层进行检查。 受 IPsec 保护的数据包已经过身份验证或解密。

应用程序层强制实施 (ALE) 接收或接受
到达本地终结点的第一个数据包在此层上指示。 例如,将指示到达的 TCP 同步 (SYN) 段或与 UDP 流关联的第一个 UDP 消息。 此层也指示重新授权连接所需的数据包(例如防火墙策略更改后),并且将设置 ALE 重新授权标志。

Datagram Data 或 Stream
UDP 消息和非 ICMP 错误消息在数据报数据层上指示。 此层允许按数据报检查网络数据。 在数据报层,网络数据是双向的。 TCP 数据流 (只有) 数据流可用于流层检查。

传出数据包

源自分配给发送计算机的地址的传出数据包 (本地主机源流量) 遍历以下 WFP 层:

ALE Connect
(在生成 SYN 段之前发出的 TCP 连接请求) ,并且发送到远程终结点的第一条 UDP 消息在此层中指示。

Datagram Data 或 Stream

UDP 消息和非 ICMP 错误消息在数据报数据层上指示。 此层允许按数据报检查网络数据。 在数据报层,网络数据是双向的。 TCP 数据流 (只有) 数据流可用于流层检查。

传输和 ICMP 错误
传输筛选层位于发送路径中,就在发送的数据包传递到网络层进行处理之后,但在进行任何网络层处理之前。 此筛选层位于网络层的顶部,而不是传输层的底部,以便第三方传输发送或原始数据包发送的任何数据包都在此层中进行筛选。

ICMP 错误筛选层位于发送路径中,用于检查传输协议收到的 ICMP 错误消息。

IP 数据包
未指示 IP 数据包片段;当前无法检查传出 IP 片段。

分配给本地计算机的地址不源自或发往的 IP 数据包或片段可在转发层进行检查。 例如,如果将发往本地客户端的数据包修改为具有非本地目标地址,然后注入到接收路径中,则会将其注入转发层。 同样,如果将源自本地源地址的数据包修改为具有非本地源地址,则会在将数据包注入发送路径后将其传递到转发层。