Architecture PAM
La figure suivante illustre l’architecture de base de la plateforme de filtrage Windows (PAM).
Moteur de filtre
Le moteur de filtre contient un composant en mode utilisateur et un composant en mode noyau, qui effectuent ensemble toutes les opérations de filtrage sur les données réseau. Le moteur de filtre contient plusieurs couches de filtrage qui sont faiblement mappées aux couches de pile réseau du système d’exploitation. Les couches du moteur de filtre sont divisées en couches en mode utilisateur et en couches en mode noyau en fonction du composant de moteur de filtre qui les possède.
Le composant en mode utilisateur effectue le filtrage RPC et IPsec. Le moteur de filtre contient environ 10 couches de filtrage en mode utilisateur.
Le composant en mode noyau effectue un filtrage au niveau des couches réseau et de transport de la pile TC/IP. Ce composant appelle également les fonctions de légende disponibles pendant le processus de classification . Le moteur de filtre contient environ 50 couches de filtrage en mode noyau.
Consultez Identificateurs de couche de filtrage pour obtenir une description de chacune des couches du moteur de filtre.
Moteur de filtrage de base
Le moteur de filtrage de base (BFE) est un service en mode utilisateur (bfe.dll s’exécutant dans un processus de svchost.exe) qui coordonne les composants PAM. Les principales tâches effectuées par BFE sont l’ajout et la suppression de filtres du système, le stockage de la configuration des filtres et l’application de la sécurité de la configuration PAM. Les applications communiquent avec BFE par le biais des fonctions de gestion du PAM.
Pilotes de légende
Les pilotes de légende fournissent des fonctionnalités de filtrage supplémentaires en ajoutant des fonctions de légende personnalisées au moteur de filtre au niveau d’une ou plusieurs des couches de filtrage en mode noyau. Les légendes prennent en charge l’inspection approfondie et les paquets, ainsi que la modification de flux. Une fois qu’un pilote de légende a ajouté ses fonctions de légende au moteur de filtre, les filtres qui spécifient la fonction de légende d’un pilote donné peuvent être ajoutés au processus de filtrage. Ces filtres peuvent être ajoutés par une application de gestion en mode utilisateur ou par le pilote de légende lui-même. L’interface en mode noyau, fournie dans le Kit de développement Windows, ne doit être utilisée qu’en cas de besoin et non en remplacement de l’API en mode utilisateur.
Notes
Pour plus d’informations sur les pilotes de légende, consultez la section Plateforme de filtrage Windows du Kit de développement Windows.
La plateforme de filtrage Windows comprend un certain nombre de fonctions de légende intégrées qui peuvent être utilisées pour la communication sécurisée des données IPsec, les paramètres de filtrage avec état et le filtrage en mode furtif. Pour obtenir la liste complète des fonctions de légende intégrées, consultez Identificateurs de légende intégrés.
Rubriques connexes
-
Pilotes de légende de plateforme de filtrage Windows - Guide de conception
-
Pilotes de légende de la plateforme de filtrage Windows - Référence
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour