Punti di ispezione dei pacchetti
Pacchetti in ingresso
I pacchetti in ingresso destinati a un indirizzo assegnato al computer di ricezione (traffico host locale) attraversano i livelli WFP nell'ordine seguente:
Pacchetto IP (livello di rete)
Tutti i pacchetti IP, inclusi i frammenti di pacchetto IP, sono disponibili per l'ispezione a questo livello. Tuttavia, quando i pacchetti sono protetti da IPsec, non è possibile eseguire l'ispezione o la modifica del contenuto approfondito a questo livello perché i pacchetti non sono ancora autenticati o decrittografati.
Livello trasporto
Tutti i pacchetti autonomi o completamente riassemblati sono disponibili per l'ispezione a questo livello. I pacchetti protetti da IPsec sono stati autenticati o decrittografati.
Ricezione o accettazione dell'applicazione livello applicazione (ALE)
Il primo pacchetto che arriva a un endpoint locale è indicato a questo livello. Ad esempio, un segmento di sincronizzazione TCP (SYN) in arrivo o il primo messaggio UDP associato a un flusso UDP verrà indicato. I pacchetti necessari per autorizzare nuovamente una connessione, ad esempio dopo una modifica dei criteri del firewall, sono indicati anche a questo livello e il flag di riauthorizzazione ALE verrà impostato.
Dati o flussi di datagrammi
I messaggi UDP e i messaggi di errore non ICMP sono indicati nel livello dati del datagram. Questo livello consente di controllare i dati di rete in base al datagram. A livello di datagrammi, i dati di rete sono bidirezionali. I flussi di dati TCP (solo flussi di dati) sono disponibili per l'ispezione a livello di flusso.
Pacchetti in uscita
I pacchetti in uscita che provengono da un indirizzo assegnato al computer di invio (traffico a origine host locale) attraversano i livelli WFP seguenti:
ALE Connect
Le richieste di connessione TCP (effettuate prima della generazione del segmento SYN) e il primo messaggio UDP inviato a un endpoint remoto è indicato a questo livello.
I messaggi UDP e i messaggi di errore non ICMP sono indicati nel livello dati del datagram. Questo livello consente di controllare i dati di rete in base al datagram. A livello di datagrammi, i dati di rete sono bidirezionali. I flussi di dati TCP (solo flussi di dati) sono disponibili per l'ispezione a livello di flusso.
Errore transport and ICMP
Il livello di filtro del trasporto si trova nel percorso di invio appena dopo che un pacchetto inviato è stato passato al livello di rete per l'elaborazione, ma prima che si verifichi un'elaborazione a livello di rete. Questo livello di filtro si trova nella parte superiore del livello di rete anziché nella parte inferiore del livello di trasporto in modo che tutti i pacchetti inviati da trasporti di terze parti o come pacchetti non elaborati vengano filtrati a questo livello.
Il livello di filtro degli errori ICMP si trova nel percorso di invio per controllare i messaggi di errore ICMP ricevuti per il protocollo di trasporto.
Pacchetto IP
I frammenti di pacchetti IP non sono indicati; l'ispezione dei frammenti IP in uscita non è attualmente disponibile.
Pacchetti IP o frammenti che non provengono da o non sono destinati, un indirizzo assegnato al computer locale è disponibile per l'ispezione a livello di inoltro. Ad esempio, se un pacchetto destinato a un client locale viene modificato per avere un indirizzo di destinazione non locale e quindi viene inserito nel percorso di ricezione, verrà inserito nel livello di inoltro. Analogamente, se un pacchetto che ha origine da un indirizzo di origine locale viene modificato per avere un indirizzo di origine non locale, verrà recapitato al livello di inoltro dopo l'inserimento nel percorso di invio.