Informationen Windows Filterplattform
Windows Die Filterplattform (WFP) ist eine Plattform zur Verarbeitung von Netzwerkdatenverkehr, die die Netzwerkdatenverkehrsfilterschnittstellen Windows XP und Windows Server 2003 ersetzt. WFP besteht aus einem Satz von Hooks in den Netzwerkstapel und einer Filter-Engine, die Netzwerkstapelinteraktionen koordiniert.
Die WFP-Komponenten
Filter-Engine
Die kernbasierte Filterinfrastruktur, die sowohl im Kernelmodus als auch im Benutzermodus gehostet wird und die mehrere Filtermodule im Windows XP- und Windows Server 2003-Netzwerksubsystem ersetzt.
- Filtert Netzwerkdatenverkehr auf jeder Ebene im System über alle Datenfelder, die ein Shim bereitstellen kann.
- Implementiert die "Callout"-Filter, indem Während der Klassifizierung Aufrufe aufgerufen werden.
- Gibt Die Aktionen "Zulassen" oder "Blockieren" an den Shim zurück, der sie zur Erzwingung aufgerufen hat.
- Ermöglicht die Vermittlung zwischen verschiedenen Richtlinienquellen. Bestimmt z. B. die Priorität, wenn eine Anwendung so konfiguriert ist, dass der damit verbundene Netzwerkdatenverkehr geschützt wird, die lokale Firewall jedoch so konfiguriert ist, dass der durch anwendungen geschützte Datenverkehr verhindert wird.
Basisfilter-Engine (BFE)
Ein Dienst, der den Betrieb der Windows Filterplattform steuert. Er führt die folgenden Aufgaben aus.
- Akzeptiert Filter und andere Konfigurationseinstellungen für die Plattform.
- Meldet den aktuellen Zustand des Systems, einschließlich Statistiken.
- Erzwingt das Sicherheitsmodell zum Akzeptieren der Konfiguration auf der Plattform. Beispielsweise kann ein lokaler Administrator Filter hinzufügen, aber andere Benutzer können sie nur anzeigen.
- Konfiguriert Konfigurationseinstellungen für andere Module im System. Beispielsweise werden IPsec-Aushandlungsrichtlinie zu IKE/AuthIP-Schlüsselmodulen und Filter an die Filter-Engine übergeben.
Shims
Kernelmoduskomponenten, die sich zwischen dem Netzwerkstapel und der Filter-Engine befinden. Shims treffen die Filterentscheidung, indem sie für die Filter-Engine klassifizieren. Im Folgenden finden Sie eine Liste der verfügbaren Shims.
- ALE-Shim (Application Layer Enforcement).
- Transport Layer Module shim.
- Shim des Moduls "Netzwerkebene".
- Internet Control Message Protocol (ICMP) Error shim.
- Verwerfen des Shims.
- Stream-Shim.
Aufrufe
Eine Reihe von Funktionen, die von einem Treiber verfügbar gemacht und für spezielle Filter verwendet werden. Neben den grundlegenden Aktionen "Zulassen" und "Blockieren" können Aufrufe eingehenden und ausgehenden Netzwerkdatenverkehr ändern und schützen. Weitere Informationen zu Callouts finden Sie im Thema Windows Filtering Platform Callout Drivers in der WDK-Dokumentation (Windows Driver Kit). WFP stellt integrierte Aufrufe bereit, die die folgenden Aufgaben ausführen.
- Führen Sie die IPsec-Verarbeitung durch.
- Passen Sie das Verhalten der zustandsbehafteten Filterung an.
- Durchführen der Filterung im geschütztem Modus (automatisches Löschen von Paketen, die nicht angefordert wurden).
- Steuern Der TCP-Auslagerungsvorgang wird gesteuert.
- Interagieren Sie mit dem Teredo-Dienst.
Mit der Filter-Engine können sich Aufrufe von Drittanbietern auf jeder kernelmodusbasierten Ebene registrieren.
Schnittstelle für die Anwendungsprogrammierung
Eine Reihe von Datentypen und Funktionen, die Entwicklern zum Erstellen und Verwalten von Netzwerkfilteranwendungen zur Verfügung stehen. Diese Datentypen und Funktionen werden in mehrere API-Sätzegruppiert.
WFP-Features
- Stellt eine Paketfilterinfrastruktur bereit, in der unabhängige Softwarehersteller (Independent Software Vendors, ISVs) spezialisierte Filtermodule integrieren können.
- Funktioniert sowohl mit IPv4 als auch mit IPv6.
- Ermöglicht die Datenfilterung, -änderung und -einschleusung.
- Führt die Paket- und Streamverarbeitung aus.
- Ermöglicht die Aktivierung der Paketfilterung pro Anwendung, pro Benutzer und pro Verbindung zusätzlich zu einer Netzwerkschnittstelle oder pro Port.
- Bietet Sicherheit zur Startzeit, bis die Basisfilter-Engine (Base Filtering Engine, BFE) gestartet werden kann.
- Aktiviert zustandsbehaftete Verbindungsfilterung.
- Verarbeitet sowohl Vor- als auch Post-IPsec-verschlüsselte Daten.
- Ermöglicht die Integration von IPsec- und Firewallfilterungsrichtlinien.
- Stellt eine Infrastruktur für die Richtlinienverwaltung bereit, um zu bestimmen, wann bestimmte Filter aktiviert werden sollen. Dies schließt das Vermitteln von in Konflikt stehenden Anforderungen von mehreren Filtern ein, die von verschiedenen Anbietern bereitgestellt werden.
- Verarbeitet die meisten Paketreassemblys und die Zustandsnachverfolgung.
- Enthält ein allgemeines Benutzerbenachrichtigungssystem, das Abonnenten über Änderungen am Filtersystem informiert.
- Implementiert Enumerationsfunktionen, die berichte über den Zustand des Systems.
- Verwendet Net-Ereignisse, um IPsec-Fehler und Paketverluste aufzuzeichnen.
- Unterstützt eine NDF-Hilfsklasse (NetworkDiagnostics Framework).
- Unterstützt die Secure Socket-Erweiterungen für die Winsock-API, die es Netzwerkanwendungen ermöglichen, ihren Datenverkehr durch Konfigurieren von WFP zu schützen.
- Auf ALE-Ebenen (Application Layer Enforcement) wirkt sich dies minimal auf die Netzwerkleistung aus, indem nur das erste Paket in einer Verbindung verarbeitet wird.
- Integriert die Hardwareabladung, bei der Kernelmodus-Calloutmodule Hardware verwenden können, um bestimmte Paketüberprüfungen durchzuführen.