关于 Windows 筛选平台

  • 项目

Windows 筛选平台 (WFP) 是一个网络流量处理平台,旨在取代 Windows XP 和 Windows Server 2003 网络流量筛选接口。 WFP 由一组连接到网络堆栈的挂钩和一个用于协调网络堆栈交互的筛选引擎组成。

粮食计划署组成部分

筛选器引擎

核心多层筛选基础结构在内核模式和用户模式下托管,可替换 Windows XP 和 Windows Server 2003 网络子系统中的多个筛选模块。

  • 根据填充码可以提供的任何数据字段筛选系统中任何层的网络流量。
  • 通过在分类期间调用标注来实现“标注”筛选器。
  • 对调用该填充码执行“Permit”或“Block”操作返回。
  • 提供不同策略源之间的仲裁。 例如,当应用程序配置为保护与其相关的任何网络流量时,确定优先级,但本地防火墙配置为阻止应用程序保护的流量。

基本筛选引擎 (BFE)

控制 Windows 筛选平台操作的服务。 它执行以下任务。

  • 接受平台的筛选器和其他配置设置。
  • 报告系统的当前状态,包括统计信息。
  • 强制实施安全模型以接受平台中的配置。 例如,本地管理员可以添加筛选器,但其他用户只能查看它们。
  • 系统中的其他模块的 Plumbs 配置设置。 例如,IPsec 协商策略转到 IKE/AuthIP 密钥控制模块,筛选器转到筛选器引擎。

垫片

驻留在网络堆栈和筛选器引擎之间的内核模式组件。 填充码通过根据筛选器引擎进行分类来做出筛选决策。 下面是可用填充码的列表。

  • 应用层强制 (ALE) 填充码。
  • 传输层模块填充码。
  • 网络层模块填充码。
  • Internet 控制消息协议 (ICMP) 错误填充码。
  • 放弃填充码。
  • 流填充码。

标注

由驱动程序公开并用于专用筛选的函数集。 除了“允许”和“阻止”的基本操作外,标注还可以修改和保护入站和出站网络流量。 有关标注的详细信息,请参阅 Windows 驱动程序工具包 (WDK) 文档中的 Windows 筛选平台 标注驱动程序主题。 WFP 提供完成以下任务的内置标注。

  • 执行 IPsec 处理。
  • 调整有状态筛选行为。
  • 执行隐身模式筛选 (无提示丢弃未) 请求的数据包。
  • 控制 TCP 烟囱卸载。
  • 与 Teredo 服务交互。


筛选器引擎允许第三方标注在其每个内核模式层上注册。

应用程序编程接口

开发人员可以使用一组数据类型和函数来生成和管理网络筛选应用程序。 这些数据类型和函数分组到多个 API 集中

WFP 功能

  • 提供数据包筛选基础结构, (ISV) 的独立软件供应商可以插入专用筛选模块。
  • 适用于 IPv4 和 IPv6。
  • 允许数据筛选、修改和重新注入。
  • 执行数据包和流处理。
  • 除了每个网络接口或每个端口之外,还允许按应用程序、每个用户和每个连接启用数据包筛选。
  • 提供启动时安全性,直到基本筛选引擎 (BFE) 可以启动。
  • 启用有状态连接筛选。
  • 处理 IPsec 加密前数据和后加密数据。
  • 允许集成 IPsec 和防火墙筛选策略。
  • 提供策略管理基础结构,以确定何时应激活特定筛选器。 这包括调解不同供应商提供的多个筛选器的冲突要求。
  • 处理大多数数据包重组和状态跟踪。
  • 包括一个通用用户通知系统,用于通知订阅者筛选系统的更改。
  • 实现报告系统状态的枚举函数。
  • 使用网络事件来记录 IPsec 错误和数据包丢弃。
  • 支持网络诊断框架 (NDF) 帮助程序类
  • 支持 Winsock API 的安全套接字扩展 ,允许网络应用程序通过配置 WFP 来保护其流量。
  • 在应用程序层强制 (ALE) 层中,仅处理连接中的第一个数据包,对网络性能的影响最小。
  • 集成硬件卸载,其中内核模式标注模块可以使用硬件执行特定数据包检查。

WFP 体系结构

粮食计划署行动

应用程序层强制实施 (ALE)

IPsec 配置

WFP 配置

粮食计划署监测

WFP API