À propos de la plateforme de filtrage Windows
La plateforme de filtrage Windows (PAM) est une plateforme de traitement du trafic réseau conçue pour remplacer les interfaces de filtrage du trafic réseau Windows XP et Windows Server 2003. PAM se compose d’un ensemble de crochets dans la pile réseau et d’un moteur de filtrage qui coordonne les interactions de pile réseau.
Les composantes du PAM
Moteur de filtre
Infrastructure de filtrage multicouche principale, hébergée en mode noyau et en mode utilisateur, qui remplace les plusieurs modules de filtrage dans le sous-système réseau Windows XP et Windows Server 2003.
- Filtre le trafic réseau à n’importe quelle couche du système sur tous les champs de données qu’un shim peut fournir.
- Implémente les filtres « Légende » en appelant des légendes pendant la classification.
- Retourne les actions « Autoriser » ou « Bloquer » au shim qui l’a appelé pour l’application.
- Fournit un arbitrage entre différentes sources de stratégie. Par exemple, détermine la priorité lorsqu’une application est configurée pour sécuriser tout trafic réseau qui lui est associé, mais que le pare-feu local est configuré pour empêcher le trafic sécurisé de l’application.
Moteur de filtrage de base (BFE)
Service qui contrôle le fonctionnement de la plateforme de filtrage Windows. Il effectue les tâches suivantes.
- Accepte les filtres et autres paramètres de configuration pour la plateforme.
- Signale l’état actuel du système, y compris les statistiques.
- Applique le modèle de sécurité pour accepter la configuration dans la plateforme. Par exemple, un administrateur local peut ajouter des filtres, mais d’autres utilisateurs peuvent uniquement les afficher.
- Aplombe les paramètres de configuration à d’autres modules du système. Par exemple, les stratégies de négociation IPsec vont aux modules de keying IKE/AuthIP et les filtres au moteur de filtre.
Cales
Composants en mode noyau qui résident entre la pile réseau et le moteur de filtre. Les shims décident du filtrage en classant par rapport au moteur de filtre. Voici la liste des shims disponibles.
- Shim d’application de la couche d’application (ALE).
- Shim du module de couche de transport.
- Shim du module de couche réseau.
- Shim d’erreur ICMP (Internet Control Message Protocol).
- Ignorez shim.
- Shim de flux.
Légendes
Ensemble de fonctions exposées par un pilote et utilisées pour le filtrage spécialisé. Outre les actions de base « Autoriser » et « Bloquer », les légendes peuvent modifier et sécuriser le trafic réseau entrant et sortant. Pour plus d’informations sur les légendes, consultez la rubrique Pilotes de légende de la plateforme de filtrage Windows dans la documentation du Kit de pilotes Windows (WDK). Le PAM fournit des légendes intégrées qui effectuent les tâches suivantes.
- Effectuez le traitement IPsec.
- Ajustez le comportement de filtrage avec état.
- Effectuez un filtrage en mode furtif (suppression silencieuse des paquets qui n’ont pas été demandés).
- Contrôler le déchargement de la cheminée TCP.
- Interagissez avec le service Teredo.
Le moteur de filtre permet aux légendes tierces de s’inscrire à chacune de ses couches en mode noyau.
Interface de programmation d’application
Ensemble de types de données et de fonctions disponibles pour les développeurs pour créer et gérer des applications de filtrage réseau. Ces types de données et fonctions sont regroupés en plusieurs ensembles d’API.
Fonctionnalités pam
- Fournit une infrastructure de filtrage de paquets dans laquelle les éditeurs de logiciels indépendants peuvent plug-ins des modules de filtrage spécialisés.
- Fonctionne avec IPv4 et IPv6.
- Permet le filtrage, la modification et la réinjection des données.
- Effectue à la fois le traitement des paquets et des flux.
- Permet d’activer le filtrage de paquets par application, par utilisateur et par connexion, en plus de par interface réseau ou par port.
- Fournit une sécurité au démarrage jusqu’à ce que le moteur de filtrage de base (BFE) puisse démarrer.
- Active le filtrage de connexion avec état.
- Gère les données pré et post-chiffrées IPsec.
- Permet l’intégration d’IPsec et de stratégies de filtrage de pare-feu.
- Fournit une infrastructure de gestion des stratégies pour déterminer quand des filtres spécifiques doivent être activés. Cela inclut les exigences en conflit de médiatise à partir de plusieurs filtres fournis par différents fournisseurs.
- Gère la plupart des suivis de réassemblage et d’état des paquets.
- Inclut un système de notification utilisateur générique qui informe les abonnés des modifications apportées au système de filtrage.
- Implémente des fonctions d’énumération qui rapportent l’état du système.
- Utilise les événements net pour enregistrer les erreurs IPsec et les suppressions de paquets.
- Prend en charge une classe d’assistance NDF (Network Diagnostics Framework).
- Prend en charge les extensions Secure Socket de l’API Winsock, qui permettent aux applications réseau de sécuriser leur trafic en configurant PAM.
- Dans les couches Application Layer Enforcement (ALE), l’impact sur les performances réseau est minimal en traitant uniquement le premier paquet d’une connexion.
- Intègre le déchargement matériel où les modules de légende en mode noyau peuvent utiliser du matériel pour effectuer une inspection de paquets spécifique.