Sobre a Plataforma de Filtragem do Windows

  • Artigo

O WFP (Windows Filtering Platform) é uma plataforma de processamento de tráfego de rede projetada para substituir as interfaces de filtragem de tráfego de rede do Windows XP e do Windows Server 2003. O WFP consiste em um conjunto de ganchos na pilha de rede e um mecanismo de filtragem que coordena as interações de pilha de rede.

Os componentes do WFP

Mecanismo de Filtro

A infraestrutura principal de filtragem de várias camadas, hospedada no modo kernel e no modo usuário, que substitui os vários módulos de filtragem no subsistema de rede do Windows XP e do Windows Server 2003.

  • Filtra o tráfego de rede em qualquer camada do sistema em todos os campos de dados que um shim pode fornecer.
  • Implementa os filtros "Texto explicativo" invocando textos explicativos durante a classificação.
  • Retorna ações "Permitir" ou "Bloquear" para o shim que o invocou para imposição.
  • Fornece arbitragem entre diferentes fontes de política. Por exemplo, determina a prioridade quando um aplicativo é configurado para proteger qualquer tráfego de rede relacionado a ele, mas o firewall local é configurado para impedir o tráfego protegido pelo aplicativo.

BFE (Mecanismo de Filtragem Base)

Um serviço que controla a operação da Plataforma de Filtragem do Windows. Ele executa as tarefas a seguir.

  • Aceita filtros e outras definições de configuração para a plataforma.
  • Relata o estado atual do sistema, incluindo estatísticas.
  • Impõe o modelo de segurança para aceitar a configuração na plataforma. Por exemplo, um administrador local pode adicionar filtros, mas outros usuários só podem exibi-los.
  • Insira definições de configuração para outros módulos no sistema. Por exemplo, as políticas de negociação IPsec vão para módulos de chave IKE/AuthIP, os filtros vão para o mecanismo de filtro.

Calços

Componentes do modo kernel que residem entre a Pilha de Rede e o mecanismo de filtro. Os shims fazem a decisão de filtragem classificando-se em relação ao mecanismo de filtro. Veja a seguir uma lista de shims disponíveis.

  • Shim ALE (Application Layer Enforcement).
  • Shim do Módulo de Camada de Transporte.
  • Shim do Módulo de Camada de Rede.
  • ICMP (Protocolo de Mensagem de Controle de Internet) Shim de erro.
  • Descartar shim.
  • Shim de fluxo.

Chamadas

Conjunto de funções expostas por um driver e usadas para filtragem especializada. Além das ações básicas de "Permitir" e "Bloquear", os textos explicativos podem modificar e proteger o tráfego de rede de entrada e saída. Consulte o tópico Drivers de Texto Explicativo da Plataforma de Filtragem do Windows na documentação do WDK (Kit de Driver do Windows) para obter mais informações sobre textos explicativos. O WFP fornece textos explicativos internos que realizam as tarefas a seguir.

  • Executar o processamento IPsec.
  • Ajuste o comportamento de filtragem com estado.
  • Executar filtragem de modo furtivo (queda silenciosa de pacotes que não foram solicitados).
  • Controlar descarregamento de chaminé TCP.
  • Interaja com o serviço Teredo.


O mecanismo de filtro permite que textos explicativos de terceiros se registrem em cada uma de suas camadas de modo kernel.

Interface de programação de aplicativo

Um conjunto de tipos de dados e funções disponíveis para os desenvolvedores criarem e gerenciarem aplicativos de filtragem de rede. Esses tipos de dados e funções são agrupados em vários conjuntos de API.

Recursos do WFP

  • Fornece uma infraestrutura de filtragem de pacotes em que ISVs (fornecedores independentes de software) podem conectar módulos de filtragem especializados.
  • Funciona com IPv4 e IPv6.
  • Permite filtragem, modificação e reinserção de dados.
  • Executa o processamento de pacotes e fluxos.
  • Permite que a filtragem de pacotes seja habilitada por aplicativo, por usuário e por conexão, além de por adaptador de rede ou por porta.
  • Fornece segurança em tempo de inicialização até que o BFE (Mecanismo de Filtragem Base) possa ser iniciado.
  • Habilita a filtragem de conexão com estado.
  • Manipula dados pré e pós-criptografados por IPsec.
  • Permite a integração de políticas de filtragem de firewall e IPsec.
  • Fornece uma infraestrutura de gerenciamento de políticas para determinar quando filtros específicos devem ser ativados. Isso inclui a mediação de requisitos conflitantes de vários filtros fornecidos por diferentes fornecedores.
  • Manipula a maioria da remontagem de pacotes e do acompanhamento de estado.
  • Inclui um sistema de notificação de usuário genérico que informa aos assinantes sobre as alterações no sistema de filtragem.
  • Implementa funções de enumeração que relatam o estado do sistema.
  • Usa eventos de rede para registrar erros IPsec e descartes de pacotes.
  • Dá suporte a uma classe auxiliar do NDF (Network Diagnostics Framework).
  • Dá suporte às extensões de Soquete Seguro para a API do Winsock, que permitem que os aplicativos de rede protejam o tráfego configurando o WFP.
  • Nas camadas ALE (Application Layer Enforcement), o afeta minimamente o desempenho da rede processando apenas o primeiro pacote em uma conexão.
  • Integra o descarregamento de hardware em que os módulos de texto explicativo do modo kernel podem usar o hardware para executar uma inspeção de pacotes específica.

Arquitetura WFP

Operação WFP

Imposição da Camada de Aplicativo (ALE)

Configuração do IPsec

Configuração do WFP

Monitoramento do WFP

WFP API