關於 Windows 篩選平臺
Windows 篩選平臺 (WFP) 是一種網路流量處理平臺,其設計目的是要取代 Windows XP 和 Windows Server 2003 網路流量篩選介面。 WFP 包含一組掛鉤到網路堆疊的機制,及協調網路堆疊互動的篩選引擎。
WFP 元件
篩選引擎
裝載於核心模式和使用者模式的核心多層篩選基礎結構,會取代 Windows XP 和 Windows Server 2003 網路子系統中的多個篩選模組。
- 透過shim層提供的任何數據欄位,篩選系統中任何層級的網路流量。
- 在分類過程中,透過調用標注過濾器來實作「Callout」篩選。
- 將「允許」或「阻止」操作傳回給調用它的插接程序進行執行。
- 提供不同原則來源之間的仲裁。 例如,當應用程式設定為保護與其相關的任何網路流量時,會決定優先順序,但本機防火牆已設定為防止應用程序保護的流量。
基底篩選引擎 (BFE)
控制 Windows 篩選平臺作業的服務。 它會執行下列工作。
- 接受平台的篩選和其他組態設定。
- 報告系統的目前狀態,包括統計數據。
- 強制執行安全性模型以接受平臺中的組態。 例如,本機系統管理員可以新增篩選,但其他使用者只能檢視它們。
- 將組態設定傳送到系統的其他模組。 例如,IPsec 交涉原則會移至 IKE/AuthIP 金鑰編製模組,篩選會移至篩選引擎。
墊片
位於網路堆疊與篩選引擎之間的核心模式元件。 墊片會根據篩選引擎的分類標準來做出篩選決策。 以下是可用的墊片清單。
- 應用層強制執行(ALE)中介層。
- 傳輸層模組墊片。
- 網路層模組薄片。
- 因特網控制訊息協定(ICMP)錯誤插層。
- 丟棄墊片。
- 串流墊片
標註
驅動程式公開的函式集,並用於特製化篩選。 除了「允許」和「封鎖」的基本動作之外,提示控制項還可以修改及保護入站和出站的網路流量。 如需有關呼叫的詳細資訊,請參閱 Windows 驅動程式套件 (WDK) 文件中的 Windows 篩選平臺呼叫驅動程式 主題。 WFP 提供內建的標示框,可完成下列工作。
- 執行 IPsec 處理。
- 調整狀態式篩選的行為。
- 執行匿蹤模式篩選(未要求封包的安靜捨棄)。
- 控制 TCP 煙囪卸除。
- 與 Teredo 服務互動。
過濾引擎允許第三方外掛函式在其各個核心模式層進行註冊。
應用程式開發介面
開發人員可用來建置和管理網路篩選應用程式的一組數據類型和函式。 這些資料類型和函式會分組為多個 API 集合,。
糧食計劃署功能
- 提供封包篩選基礎結構,讓獨立軟體廠商 (ISV) 可以插入特製化篩選模組。
- 適用於 IPv4 和 IPv6。
- 允許數據篩選、修改和重新插入。
- 同時執行封包和數據流處理。
- 除了每個網路介面或每個埠之外,允許每個應用程式、每個使用者和每個連線啟用封包篩選。
- 提供開機時間安全性,直到基底篩選引擎 (BFE) 可以啟動為止。
- 啟用有狀態連線篩選。
- 處理 IPsec 加密前後的數據。
- 允許整合 IPsec 和防火牆篩選原則。
- 提供原則管理基礎結構,以判斷何時應啟用特定篩選。 這包括調解不同廠商所提供的多個篩選條件的衝突需求。
- 處理大部分的封包重新組譯和狀態追蹤。
- 包含一般使用者通知系統,可通知訂閱者篩選系統的變更。
- 實作報告系統狀態的列舉函式。
- 使用網路事件來記錄 IPsec 錯誤和封包丟棄。
- 支援網路診斷架構 (NDF) 協助程式類別。
- 支援 Winsock API 的 安全套接字延伸模組,允許網路應用程式藉由配置 WFP 來保護其流量。
- 在應用層強制(ALE)中,只處理連線中的第一個封包,對網路效能的影響很小。
- 整合硬體卸載,其中核心模式行程模組可以使用硬體來執行特定的封包分析。