WFP 操作

[アーティクル]
06/13/2023

Windows フィルタープラットフォーム (WFP) は、レイヤー、フィルター、Shim、吹き出しの基本的なエンティティを統合することで、そのタスクを実行します。

レイヤー

レイヤーは、フィルターエンジンによって管理されるコンテナーであり、その関数はフィルターをセットに整理することです。レイヤーはネットワークスタック内のモジュールではありません。各レイヤーには、追加できるフィルターの種類を定義するスキーマがあります。詳細については、「各フィルターレイヤーで使用できるフィルター条件」を参照してください。

レイヤーには、"1024 より上の TCP ポートをブロックする" や "ポート 1080 を開く" などの競合するフィルター要件を管理するためのサブレイヤーが含まれている場合があります。フィルター処理の競合を管理するためのルールは、フィルターアービトレーションによって決定されます。

WFP には、組み込みのサブレイヤーのセットが含まれています。すべてのレイヤーは、すべての組み込みサブレイヤーを継承します。ユーザーは、独自のサブレイヤーを追加することもできます。

フィルターエンジンレイヤーの一覧は、「フィルターレイヤー識別子」のリファレンスセクションで提供 されています。

フィルター

フィルターは、受信パケットまたは送信パケットと照合されるルールです。ルールは、ディープパケットまたはストリーム検査のためにコールアウトモジュールを呼び出すなど、パケットを処理する処理をフィルターエンジンに指示します。たとえば、フィルターで "TCP ポートが 1024 より大きいトラフィックをブロックする" または "セキュリティで保護されていないすべてのトラフィックに対して IDS に呼び出す" を指定できます。

ブート時フィルターは、TCP/IP スタックドライバー (tcpip.sys) が起動するとすぐにブート時に適用されるフィルターです。 BFE の起動時にブート時フィルターが無効になります。 FwpmFilterAdd0 が呼び出されたときに FWPM_FILTER_FLAG_BOOTTIME フラグを設定することで、フィルターはブート時としてマークされます。

実行時フィルターは、BFE の開始後に適用されるフィルターです。実行時フィルターは、作成方法に応じて静的、動的、または永続的にすることができます。さまざまな種類のランタイムフィルターとその有効期間の詳細については、「オブジェクト管理」を参照してください。

シム

shim は、フィルターエンジンレイヤーに対して分類することでフィルター処理の決定を行うカーネルモードコンポーネントです。各 shim は、1 つ以上のレイヤーに対して分類されます。たとえば、トランスポート層モジュール shim は、フローの最初のパケットの受信トランスポート層、送信トランスポート層、ALE Connect および Receive-Accept レイヤーに対して分類します。

パケット、ストリーム、およびイベントがネットワークスタックを通過すると、shim はそれらを解析して分類可能な条件と値を抽出し、フィルターエンジンを呼び出して、特定のレイヤー内のフィルターに対してそれらを評価します。フィルターエンジンは、分類の一部として 1 つ以上の吹き出しを呼び出すことができます。 shim は、フィルターエンジンによって実行された分類の結果に基づいて、パケット、ストリーム、およびイベントの実際のドロップを行います。

吹き出し

吹き出しは、ドライバーによって公開され、特殊なフィルター処理に使用される関数のセットです。ウイルススキャン、保護者による不適切なコンテンツのスキャン、監視ツール用のパケットデータ解析など、パケットの分析と操作を実行するために使用されます。ネットワークアドレス変換 (NAT) ドライバーなどの一部の吹き出しは、オペレーティングシステムに組み込まれています。 HTTP ペアレンタルコントロールコールアウトや侵入検知システム(IDS)コールアウトなどのその他のコールアウトは、独立系ソフトウェアベンダー (ISV) によって提供できます。吹き出し関数は、特定のレイヤーで対応する吹き出しフィルターが一致すると、フィルターエンジンによって呼び出されます。

吹き出しは、カーネルモード WFP レイヤーのいずれかで登録できます。吹き出しは、アクション ("ブロック"、"許可"、およびストリーム検査の実行時に "Defer"、"Need more data"、"Drop connection") を返し、受信および送信のネットワークトラフィックを変更およびセキュリティで保護できます。

吹き出しがフィルターエンジンに登録されると、処理するネットワークトラフィックを受信できます。トラフィックは、レイヤーに応じてパケット、ストリーム、またはイベントである場合があります。アプリケーションまたはファイアウォールエージェントは、アクションが "Callout" で吹き出し ID がその吹き出し ID であるフィルターを追加することで、トラフィックを引き出しに渡します。吹き出しは、フィルターエンジンに"ブロック" または "許可" を shim に返すように指示できます。吹き出しでは、"Continue" を返して、他のフィルターがパケットを処理できるようにすることもできます。

1 つの引き出し線ドライバーによって、複数の吹き出しが公開される場合があります。

吹き出しを使用するには、( FwpmCalloutAdd0 を使用して) 追加し、( FwpsCalloutRegister に) 登録する必要があります。吹き出しを参照するフィルターを作成する前に、 FwpmCalloutAdd0 の呼び出しが必要です。吹き出しフィルターが一致したときに WFP が吹き出しを呼び出すには、FwpsCalloutRegister の呼び出しが必要です。既定では、追加されたが、フィルターエンジンにまだ登録されていない吹き出しを参照するフィルターは、"ブロック" フィルターとして扱われます。 FwpmCalloutAdd0 と FwpsCalloutRegister を呼び出す順序は関係ありません。永続的な吹き出しは 1 回だけ追加する必要があり、吹き出しを実装するドライバーが起動するたびに登録する必要があります (再起動後など)。

WFP 操作

起動時に、TCP/IP スタックドライバー (tcpip.sys) が起動するとすぐに、カーネルモードフィルターエンジンによって、ブート時フィルターを使用してシステムのセキュリティポリシーが適用されます。

基本フィルターエンジン (BFE) がユーザーモードで起動すると、永続的なフィルターがプラットフォームに追加され、ブート時フィルターが無効になり、 FwpmBfeStateSubscribeChanges0 を使用してサブスクライブしたコールアウトドライバーに通知が送信されます。通知は、BFE の初期化が完了した直後にディスパッチされます。これで、プラットフォームでコールアウトを登録し、実行時オブジェクトを追加する準備が整いました。

ブート時間から永続的なフィルターへの切り替えは、数秒、または低速コンピューターではさらに長くなる可能性があります。これはアトミックであるため、プロバイダーにブート時と永続的なフィルターの両方がある場合、どちらも有効でないときにウィンドウは表示されません。

BFE の起動後、ランタイムフィルターはファイアウォールエージェントまたはカスタムファイアウォールソリューションによって追加できます。 BFE はこれらのフィルターを処理し、適用のために適切なフィルターエンジンレイヤーに送信します。 BFE は認証設定も受け入れ、これらの設定を IPsec キーモジュール (IKE/AuthIP) に送信します。詳細については、「 IPsec 構成」を参照してください。

フィルターと認証の設定はいつでも、BFE によって公開される RPC インターフェイスを使用して、システム内で追加、削除、または変更できます。サブレイヤーと吹き出しモジュールも同様に追加または削除できます。

データフロー:

パケットがネットワークスタックに入ってくる。
ネットワークスタックは shim を検索して呼び出します。
shim は、特定のレイヤーで分類プロセスを呼び出します。
分類中にフィルターが一致し、結果のアクションが実行されます。 ( 「フィルターアービトレーション」を参照)。
分類プロセス中に吹き出しフィルターが一致すると、対応する吹き出しが呼び出されます。
shim は、最終的なフィルター処理の決定に対して動作します (たとえば、パケットをドロップします)。

送信データフローは、同様のパターンに従います。

次のトピックでは、WFP の動作についてさらに説明します。

オブジェクトモデル
オブジェクト管理

次の方法で共有

WFP 操作

レイヤー

フィルター

シム

吹き出し

分類

WFP 操作

フィードバック

その他のリソース

次の方法で共有

WFP 操作

レイヤー

フィルター

シム

吹き出し

分類

WFP 操作

関連トピック

フィードバック

その他のリソース