Informationen zur Windows-Filterplattform

  • Artikel

Windows Filtering Platform (WFP) ist eine Netzwerkdatenverkehrsverarbeitungsplattform, die die Netzwerkdatenverkehrfilterschnittstellen windows XP und Windows Server 2003 ersetzen soll. WFP besteht aus einer Reihe von Hooks in den Netzwerkstapel und einer Filter-Engine, die Netzwerkstapelinteraktionen koordiniert.

Die WFP-Komponenten

Filter-Engine

Die kernige, mehrschichtige Filterinfrastruktur, die sowohl im Kernelmodus als auch im Benutzermodus gehostet wird, ersetzt die mehrere Filtermodule im Windows XP- und Windows Server 2003-Netzwerksubsystem.

  • Filtert Netzwerkdatenverkehr auf jeder Ebene im System über alle Datenfelder, die ein Shim bereitstellen kann.
  • Implementiert die "Callout"-Filter, indem während der Klassifizierung Legenden aufgerufen werden.
  • Gibt die Aktionen "Zulassen" oder "Blockieren" an den Shim zurück, der sie zur Erzwingung aufgerufen hat.
  • Bietet Schiedsverfahren zwischen verschiedenen Richtlinienquellen. Bestimmt beispielsweise die Priorität, wenn eine Anwendung so konfiguriert ist, dass sie den damit verbundenen Netzwerkdatenverkehr schützt, die lokale Firewall jedoch so konfiguriert ist, dass der durch die Anwendung gesicherte Datenverkehr verhindert wird.

Basisfilterungs-Engine (BFE)

Ein Dienst, der den Betrieb der Windows-Filterplattform steuert. Es führt die folgenden Aufgaben aus.

  • Akzeptiert Filter und andere Konfigurationseinstellungen für die Plattform.
  • Meldet den aktuellen Zustand des Systems, einschließlich Statistiken.
  • Erzwingt das Sicherheitsmodell für die Annahme der Konfiguration auf der Plattform. Beispielsweise kann ein lokaler Administrator Filter hinzufügen, aber andere Benutzer können sie nur anzeigen.
  • Verwenden Sie Konfigurationseinstellungen für andere Module im System. Beispielsweise wechseln IPsec-Verhandlungsrichtlinien zu IKE/AuthIP-Schlüsselmodulen, Filter zur Filter-Engine.

Shims

Kernelmoduskomponenten, die sich zwischen dem Netzwerkstapel und der Filter-Engine befinden. Shims treffen die Filterentscheidung, indem sie für die Filter-Engine klassifizieren. Im Folgenden finden Sie eine Liste der verfügbaren Shims.

  • Anwendungsebenenerzwingung (Application Layer Enforcement, ALE) shim.
  • Transport Layer Module shim.
  • Network Layer Module shim.
  • Internet Control Message Protocol (ICMP) Fehler shim.
  • Verwerfen sie shim.
  • Stream shim.

Aufrufe

Satz von Funktionen, die von einem Treiber verfügbar gemacht werden und für die spezielle Filterung verwendet werden. Neben den grundlegenden Aktionen "Zulassen" und "Blockieren" können Legenden den eingehenden und ausgehenden Netzwerkdatenverkehr ändern und schützen. Weitere Informationen zu Legenden finden Sie im Thema Windows Filtering Platform Callout Drivers in der Dokumentation zum Windows Driver Kit (WDK). WFP stellt integrierte Legenden bereit, die die folgenden Aufgaben ausführen.

  • Führen Sie die IPsec-Verarbeitung aus.
  • Passen Sie das zustandsbehaftete Filterverhalten an.
  • Führen Sie eine Filterung im Stealth-Modus durch (automatisches Ablegen von Paketen, die nicht angefordert wurden).
  • Steuern Sie die TCP-Schornsteinabladung.
  • Interagieren Sie mit dem Teredo-Dienst.


Die Filter-Engine ermöglicht es Drittanbieter-Legenden, sich in jeder ihrer Kernelmodusebenen zu registrieren.

Anwendungsprogrammierschnittstelle

Eine Reihe von Datentypen und Funktionen, die den Entwicklern zum Erstellen und Verwalten von Netzwerkfilteranwendungen zur Verfügung stehen. Diese Datentypen und Funktionen sind in mehrere API-Sätze gruppiert.

WFP-Features

  • Stellt eine Paketfilterinfrastruktur bereit, in der unabhängige Softwareanbieter (ISVs) spezialisierte Filtermodule einbinden können.
  • Funktioniert sowohl mit IPv4 als auch mit IPv6.
  • Ermöglicht die Datenfilterung, -änderung und -einschleusung.
  • Führt sowohl Paket- als auch Streamverarbeitung aus.
  • Ermöglicht die Aktivierung der Paketfilterung pro Anwendung, pro Benutzer und pro Verbindung zusätzlich zur Netzwerkschnittstelle oder pro Port.
  • Bietet Startzeitsicherheit, bis die Basisfilterungs-Engine (BFE) gestartet werden kann.
  • Aktiviert zustandsbehaftete Verbindungsfilterung.
  • Verarbeitet daten, die vor und nach IPsec verschlüsselt sind.
  • Ermöglicht die Integration von IPsec- und Firewallfilterrichtlinien.
  • Stellt eine Richtlinienverwaltungsinfrastruktur bereit, um zu bestimmen, wann bestimmte Filter aktiviert werden sollen. Dies schließt die Vermittlung von in Konflikt stehenden Anforderungen aus mehreren Filtern ein, die von verschiedenen Anbietern bereitgestellt werden.
  • Verarbeitet die meisten Paket-Neuassembly- und Zustandsnachverfolgungen.
  • Enthält ein generisches Benutzerbenachrichtigungssystem, das Abonnenten über Änderungen am Filtersystem informiert.
  • Implementiert Enumerationsfunktionen, die über den Zustand des Systems berichten.
  • Verwendet Net-Ereignisse, um IPsec-Fehler und Paketabbrüche aufzuzeichnen.
  • Unterstützt eine NDF-Hilfsklasse (Network Diagnostics Framework).
  • Unterstützt die Secure Socket-Erweiterungen der Winsock-API, mit denen Netzwerkanwendungen ihren Datenverkehr schützen können, indem sie WFP konfigurieren.
  • Bei Application Layer Enforcement (ALE) wirkt sich die Netzwerkleistung minimal aus, da nur das erste Paket in einer Verbindung verarbeitet wird.
  • Integriert Hardwareauslagerung, in der Kernelmodus-Legendenmodule Hardware verwenden können, um spezifische Paketüberprüfungen durchzuführen.

WFP-Architektur

WFP-Vorgang

Erzwingung auf Anwendungsebene (Application Layer Enforcement, ALE)

IPsec-Konfiguration

WFP-Konfiguration

WFP-Überwachung

WFP-API