WFP-Architektur
Die folgende Abbildung zeigt die grundlegende Architektur der Windows Filtering Platform (WFP).

Filter-Engine
Die Filter-Engine enthält eine Benutzermoduskomponente und eine Kernelmoduskomponente, die zusammen alle Filtervorgänge für Netzwerkdaten ausführen. Die Filter-Engine enthält mehrere Filterebenen, die den Netzwerkstapelebenen des Betriebssystems lose zuordnen. Die Filter-Engine-Ebenen werden basierend auf der Filter-Engine-Komponente, die sie besitzt, in Benutzermodusebenen und Kernelmodusebenen unterteilt.
Die Benutzermoduskomponente führt RPC- und IPsec-Filterung durch. Die Filter-Engine enthält ca. 10 Filterebenen im Benutzermodus.
Die Kernelmoduskomponente filtert die Netzwerk- und Transportebenen des TC/IP-Stapels. Diese Komponente ruft auch die verfügbaren Calloutfunktionen während des Klassifizierungsprozesses auf. Die Filter-Engine enthält ungefähr 50 Filterebenen im Kernelmodus.
Eine Beschreibung der einzelnen Filter-Engine-Ebenen finden Sie unter Filtern von Ebenenbezeichnern.
Basisfiltermodul
Die Basisfilterungs-Engine (Base Filtering Engine, BFE) ist ein Benutzermodusdienst (bfe.dll, der in einem svchost.exe-Prozess ausgeführt wird), der die WFP-Komponenten koordiniert. Die wichtigsten Aufgaben von BFE sind das Hinzufügen und Entfernen von Filtern aus dem System, das Speichern der Filterkonfiguration und das Erzwingen der WFP-Konfigurationssicherheit. Anwendungen kommunizieren mit BFE über die WFP-Verwaltungsfunktionen.
Callout-Treiber
Callouttreiber bieten zusätzliche Filterfunktionen, indem sie der Filter-Engine auf einer oder mehreren Filterebenen im Kernelmodus benutzerdefinierte Calloutfunktionen hinzufügen. Callouts unterstützen eine tiefe Überprüfung und Paketüberprüfung sowie Streamänderungen. Nachdem ein Callouttreiber seine Calloutfunktionen zur Filter-Engine hinzugefügt hat, können Filter, die die Calloutfunktion eines bestimmten Treibers angeben, dem Filterprozess hinzugefügt werden. Solche Filter können entweder von einer Verwaltungsanwendung im Benutzermodus oder vom Callouttreiber selbst hinzugefügt werden. Die im Windows Development Kit bereitgestellte Kernelmodusschnittstelle sollte nur bei Bedarf und nicht als Ersatz für die Benutzermodus-API verwendet werden.
Hinweis
Weitere Informationen zu Callouttreibern finden Sie im Abschnitt Windows Filtering Platform des Windows Development Kit.
Die Windows Filterplattform enthält eine Reihe von integrierten Rückruffunktionen, die für die sichere IPsec-Datenkommunikation, zustandsbehaftete Filtereinstellungen und filterung im geschützten Modus verwendet werden können. Eine vollständige Liste der integrierten Calloutfunktionen finden Sie unter Integrierte Aufrufbezeichner.