WFP 体系结构
下图显示了 Windows 筛选平台(WFP)的基本体系结构。
筛选器引擎
筛选器引擎包含用户模式组件和内核模式组件,它们共同对网络数据执行所有筛选操作。 筛选器引擎包含多个筛选层,这些层松散映射到操作系统的网络堆栈层。 筛选器引擎层根据拥有它们的筛选器引擎组件划分为用户模式层和内核模式层。
用户模式组件执行 RPC 和 IPsec 筛选。 筛选器引擎包含大约 10 个用户模式筛选层。
内核模式组件在 TCP/IP 堆栈的网络和传输层执行筛选。 此组件还会在分类过程中调用可用的回调函数。 筛选器引擎包含大约 50 个内核模式筛选层。
有关每个筛选器引擎层的说明,请参阅 筛选层标识符。
基本筛选引擎
基本筛选引擎(BFE)是协调 WFP 组件的用户模式服务(bfe.dll 在 svchost.exe 进程中运行)。 BFE 执行的主要任务是添加和删除系统中的筛选器、存储筛选器配置和强制实施 WFP 配置安全性。 应用程序通过 粮食计划署管理功能与 BFE 通信。
标注驱动程序
标注驱动程序通过在一个或多个内核模式筛选层向筛选引擎添加自定义标注函数来提供额外的筛选功能。 标注支持深度检查和数据包以及流修改。 在标注驱动程序将其调用函数添加到筛选引擎后,可以将指定给定驱动程序的调用函数的筛选器添加到筛选过程中。 此类筛选器可由用户模式管理应用程序或标注驱动程序本身添加。 内核模式接口(在 Windows 开发工具包中提供)仅在需要时使用,而不是用作用户模式 API 的替代项。
注意
有关标注驱动程序的详细信息,请参阅 Windows 开发工具包的 Windows 筛选平台部分。
Windows 筛选平台包括许多内置回调函数,可用于 IPsec 安全数据通信、有状态筛选设置和隐身模式筛选。 如需内置标注函数的完整列表,请参阅内置标注标识符 。
相关主题