Acerca de la plataforma de filtrado de Windows

  • Artículo

La Plataforma de filtrado de Windows (PMA) es una plataforma de procesamiento de tráfico de red diseñada para reemplazar las interfaces de filtrado de tráfico de red de Windows XP y Windows Server 2003. EL PMA consta de un conjunto de enlaces en la pila de red y un motor de filtrado que coordina las interacciones de la pila de red.

Componentes del PMA

Motor de filtro

La infraestructura principal de filtrado de varias capas, hospedada tanto en modo kernel como en modo de usuario, que reemplaza los módulos de filtrado múltiples en el subsistema de redes de Windows XP y Windows Server 2003.

  • Filtra el tráfico de red en cualquier capa del sistema a través de cualquier campo de datos que pueda proporcionar una corrección de compatibilidad ( shim).
  • Implementa los filtros de "Llamada" invocando llamadas durante la clasificación.
  • Devuelve las acciones "Permitir" o "Bloquear" a la corrección de compatibilidad que la invocó para su aplicación.
  • Proporciona arbitraje entre diferentes orígenes de directivas. Por ejemplo, determina la prioridad cuando una aplicación está configurada para proteger cualquier tráfico de red relacionado con ella, pero el firewall local está configurado para evitar el tráfico protegido por la aplicación.

Motor de filtrado base (BFE)

Un servicio que controla el funcionamiento de la Plataforma de filtrado de Windows. Realiza las siguientes tareas.

  • Acepta filtros y otras opciones de configuración para la plataforma.
  • Informa del estado actual del sistema, incluidas las estadísticas.
  • Aplica el modelo de seguridad para aceptar la configuración en la plataforma. Por ejemplo, un administrador local puede agregar filtros, pero otros usuarios solo pueden verlos.
  • Opciones de configuración de plumbs para otros módulos del sistema. Por ejemplo, las directivas de negociación de IPsec van a los módulos de claves IKE/AuthIP, los filtros van al motor de filtros.

Cuñas

Componentes en modo kernel que residen entre la pila de red y el motor de filtro. Las correcciones de compatibilidad toman la decisión de filtrado mediante la clasificación en el motor de filtro. A continuación se muestra una lista de correcciones de compatibilidad disponibles.

  • Correcciones de compatibilidad de la capa de aplicación (ALE).
  • Correcciones de compatibilidad del módulo de capa de transporte.
  • Correcciones de compatibilidad del módulo de capa de red.
  • Corrección de errores del Protocolo de mensajes de control de Internet (ICMP).
  • Descartar correcciones de compatibilidad.
  • Corrección de correcciones de compatibilidad.

Llamadas

Conjunto de funciones expuestas por un controlador y usadas para el filtrado especializado. Además de las acciones básicas de "Permitir" y "Bloquear", las llamadas pueden modificar y proteger el tráfico de red entrante y saliente. Consulta el tema Controladores de llamada de la Plataforma de filtrado de Windows en la documentación del Kit de controladores de Windows (WDK) para obtener más información sobre las llamadas. EL PMA proporciona llamadas integradas que realizan las siguientes tareas.

  • Realice el procesamiento de IPsec.
  • Ajuste el comportamiento de filtrado con estado.
  • Realice el filtrado en modo sigiloso (eliminación silenciosa de paquetes que no se solicitaron).
  • Controlar la descarga de chimenea TCP.
  • Interactúe con el servicio Teredo.


El motor de filtros permite que las llamadas de terceros se registren en cada una de sus capas en modo kernel.

Interfaz de programación de aplicaciones

Un conjunto de tipos de datos y funciones disponibles para los desarrolladores para compilar y administrar aplicaciones de filtrado de red. Estos tipos de datos y funciones se agrupan en varios conjuntos de API.

Características de PMA

  • Proporciona una infraestructura de filtrado de paquetes en la que los proveedores de software independientes (ISV) pueden conectar módulos de filtrado especializados.
  • Funciona con IPv4 e IPv6.
  • Permite filtrar, modificar y volver a inyectar datos.
  • Realiza el procesamiento de paquetes y flujos.
  • Permite habilitar el filtrado de paquetes por aplicación, por usuario y por conexión, además de por interfaz de red o por puerto.
  • Proporciona seguridad en tiempo de arranque hasta que se pueda iniciar el motor de filtrado base (BFE).
  • Habilita el filtrado de conexiones con estado.
  • Controla los datos cifrados previamente y posteriores a IPsec.
  • Permite la integración de IPsec y directivas de filtrado de firewall.
  • Proporciona una infraestructura de administración de directivas para determinar cuándo se deben activar filtros específicos. Esto incluye la mediación de requisitos en conflicto de varios filtros proporcionados por distintos proveedores.
  • Controla la mayoría del montaje de paquetes y el seguimiento de estado.
  • Incluye un sistema de notificación de usuario genérico que informa a los suscriptores de los cambios en el sistema de filtrado.
  • Implementa funciones de enumeración que informan sobre el estado del sistema.
  • Usa eventos netos para registrar errores de IPsec y caídas de paquetes.
  • Admite una clase auxiliar de Network Diagnostics Framework (NDF).
  • Admite las extensiones de socket seguro a winsock API, que permiten a las aplicaciones de red proteger su tráfico mediante la configuración de PMA.
  • En las capas de cumplimiento de la capa de aplicación (ALE), afecta mínimamente al rendimiento de la red procesando solo el primer paquete de una conexión.
  • Integra la descarga de hardware en la que los módulos de llamada en modo kernel pueden usar hardware para realizar una inspección de paquetes específica.

Arquitectura de PMA

Operación de PMA

Aplicación de la capa de aplicación (ALE)

Configuración de IPsec

Configuración de PMA

Supervisión de PMA

API DE PMA