Informazioni sulla piattaforma di filtro di Windows

  • Articolo

Windows Filtering Platform (WFP) è una piattaforma di elaborazione del traffico di rete progettata per sostituire le interfacce di filtro del traffico di rete windows XP e Windows Server 2003. IL WFP è costituito da un set di hook nello stack di rete e da un motore di filtro che coordina le interazioni tra stack di rete.

Componenti del WFP

Motore di filtro

L'infrastruttura di filtro a più livelli principale, ospitata sia in modalità kernel che in modalità utente, che sostituisce i più moduli di filtro nel sottosistema di rete Windows XP e Windows Server 2003.

  • Filtra il traffico di rete in qualsiasi livello del sistema su tutti i campi dati che possono fornire uno shim.
  • Implementa i filtri "Callout" richiamando i callout durante la classificazione.
  • Restituisce le azioni "Permit" o "Block" nello shim richiamato per l'applicazione.
  • Fornisce l'arbitrato tra diverse origini di criteri. Ad esempio, determina la priorità quando un'applicazione è configurata per proteggere qualsiasi traffico di rete correlato, ma il firewall locale è configurato per impedire il traffico protetto dall'applicazione.

Motore di filtro di base (BFE)

Servizio che controlla l'operazione della piattaforma di filtro di Windows. Esegue le attività seguenti.

  • Accetta filtri e altre impostazioni di configurazione per la piattaforma.
  • Segnala lo stato corrente del sistema, incluse le statistiche.
  • Applica il modello di sicurezza per accettare la configurazione nella piattaforma. Ad esempio, un amministratore locale può aggiungere filtri, ma altri utenti possono visualizzarli solo.
  • Consente di configurare le impostazioni di configurazione di altri moduli nel sistema. Ad esempio, i criteri di negoziazione IPsec passano ai moduli di chiave IKE/AuthIP, i filtri passano al motore di filtro.

Spessori

Componenti in modalità kernel che risiedono tra stack di rete e il motore di filtro. Gli shim fanno la decisione di filtro classificando il motore di filtro. Di seguito è riportato un elenco di shim disponibili.

  • Shim application layer enforcement (ALE).
  • Shim del modulo del livello di trasporto.
  • Shim del modulo di livello di rete.
  • Errore ICMP (Internet Control Message Protocol).
  • Ignorare lo shim.
  • Shim di flusso.

Callout

Set di funzioni esposte da un driver e usato per il filtro specializzato. Oltre alle azioni di base di "Permit" e "Block", i callout possono modificare e proteggere il traffico di rete in ingresso e in uscita. Per altre informazioni sui callout, vedere l'argomento Driver di Windows Filtering Platform Callout nella documentazione di Windows Driver Kit (WDK). IL WFP offre callout predefiniti che eseguono le attività seguenti.

  • Eseguire l'elaborazione IPsec.
  • Regolare il comportamento di filtro con stato.
  • Eseguire il filtro in modalità invisibile (eliminazione automatica dei pacchetti non richiesti).
  • Controllare l'offload del camino TCP.
  • Interagire con il servizio Teredo.


Il motore di filtro consente ai callout di terze parti di registrare in ogni livello in modalità kernel.

Interfaccia di programmazione dell'applicazione

Set di tipi di dati e funzioni disponibili per gli sviluppatori per creare e gestire applicazioni di filtro di rete. Questi tipi di dati e funzioni vengono raggruppati in più set di API.

Caratteristiche DEL WFP

  • Fornisce un'infrastruttura di filtro dei pacchetti in cui i fornitori di software indipendenti (ISV) possono inserire moduli di filtro specializzati.
  • Funziona sia con IPv4 che con IPv6.
  • Consente di filtrare, modificare e ripetere l'inserimento dei dati.
  • Esegue l'elaborazione dei pacchetti e del flusso.
  • Consente l'abilitazione del filtro dei pacchetti per ogni applicazione, per utente e per connessione oltre a ogni interfaccia di rete o per porta.
  • Fornisce la sicurezza di avvio fino all'avvio del motore di filtro di base (BFE).
  • Abilita il filtro della connessione con stato.
  • Gestisce sia i dati pre-crittografati che post-IPsec.
  • Consente l'integrazione dei criteri di filtro IPsec e firewall.
  • Fornisce un'infrastruttura di gestione dei criteri per determinare quando devono essere attivati filtri specifici. Ciò include i requisiti di mediazione dei requisiti in conflitto da più filtri forniti da diversi fornitori.
  • Gestisce la maggior parte dei pacchetti di riassemblaggio e rilevamento dello stato.
  • Include un sistema di notifica utente generico che informa i sottoscrittori delle modifiche apportate al sistema di filtro.
  • Implementa le funzioni di enumerazione che segnalano lo stato del sistema.
  • Usa gli eventi net per registrare errori E pacchetti IPsec.
  • Supporta una classe helper NDF (Network Diagnostics Framework).
  • Supporta le estensioni Secure Socket all'API Winsock, che consentono alle applicazioni di rete di proteggere il traffico configurando IL WFP.
  • Nei livelli application layer enforcement (ALE) influiscono minimamente sulle prestazioni di rete elaborando solo il primo pacchetto in una connessione.
  • Integra l'offload hardware in cui i moduli callout in modalità kernel possono usare hardware per eseguire un'ispezione di pacchetti specifica.

Architettura WFP

Operazione WFP

Applicazione livello applicazione (ALE)

Configurazione IPsec

Configurazione WFP

Monitoraggio DEL WFP

WFP API