Bagikan melalui

Tentang Platform Pemfilteran Windows

  • Artikel

Windows Filtering Platform (WFP) adalah platform pemrosesan lalu lintas jaringan yang dirancang untuk menggantikan antarmuka pemfilteran lalu lintas jaringan Windows XP dan Windows Server 2003. WFP terdiri dari satu set kait ke dalam tumpukan jaringan dan mesin pemfilteran yang mengoordinasikan interaksi tumpukan jaringan.

Komponen WFP

Mesin Filter

Infrastruktur pemfilteran multi-lapisan inti, dihosting dalam mode kernel dan mode pengguna, yang menggantikan beberapa modul pemfilteran di subsistem jaringan Windows XP dan Windows Server 2003.

  • Memfilter lalu lintas jaringan di lapisan mana pun dalam sistem di atas bidang data apa pun yang dapat disediakan shim.
  • Menerapkan filter "Callout" dengan memanggil callout selama klasifikasi.
  • Mengembalikan tindakan "Izin" atau "Blokir" ke shim yang memanggilnya untuk penegakan.
  • Menyediakan arbitrase antara sumber kebijakan yang berbeda. Misalnya, menentukan prioritas ketika aplikasi dikonfigurasi untuk mengamankan lalu lintas jaringan apa pun yang terkait dengannya, tetapi firewall lokal dikonfigurasi untuk mencegah lalu lintas aman aplikasi.

Mesin Pemfilteran Dasar (BFE)

Layanan yang mengontrol pengoperasian Platform Pemfilteran Windows. Ini melakukan tugas-tugas berikut.

  • Menerima filter dan pengaturan konfigurasi lainnya untuk platform.
  • Melaporkan status sistem saat ini, termasuk statistik.
  • Memberlakukan model keamanan untuk menerima konfigurasi di platform. Misalnya, administrator lokal dapat menambahkan filter tetapi pengguna lain hanya dapat melihatnya.
  • Pengaturan konfigurasi plumbs ke modul lain dalam sistem. Misalnya, kebijakan negosiasi IPsec masuk ke modul kunci IKE/AuthIP, filter masuk ke mesin filter.

Shims

Komponen mode kernel yang berada di antara Tumpukan Jaringan dan mesin filter. Shim membuat keputusan pemfilteran dengan mengklasifikasikan terhadap mesin filter. Berikut ini adalah daftar shim yang tersedia.

  • Shim Application Layer Enforcement (ALE).
  • Shim Modul Lapisan Transportasi.
  • Shim Modul Lapisan Jaringan.
  • Shim Kesalahan Protokol Pesan Kontrol Internet (ICMP).
  • Buang shim.
  • Aliran shim.

Callouts

Kumpulan fungsi yang diekspos oleh driver dan digunakan untuk pemfilteran khusus. Selain tindakan dasar "Izin" dan "Blokir", callout dapat memodifikasi dan mengamankan lalu lintas jaringan masuk dan keluar. Lihat topik Windows Filtering Platform Callout Drivers dalam dokumentasi Windows Driver Kit (WDK) untuk informasi selengkapnya tentang callout. WFP menyediakan callout bawaan yang menyelesaikan tugas berikut.

  • Lakukan pemrosesan IPsec.
  • Menyesuaikan perilaku pemfilteran stateful.
  • Lakukan pemfilteran mode siluman (penurunan paket senyap yang tidak diminta).
  • Kontrol offload cerobong asap TCP.
  • Berinteraksi dengan layanan Teredo.


Mesin filter memungkinkan callout pihak ketiga untuk mendaftar di setiap lapisan mode kernelnya.

Antarmuka Pemrograman Aplikasi

Sekumpulan jenis data dan fungsi yang tersedia untuk pengembang untuk membangun dan mengelola aplikasi pemfilteran jaringan. Jenis dan fungsi data ini dikelompokkan ke dalam beberapa set API.

Fitur WFP

  • Menyediakan infrastruktur pemfilteran paket di mana vendor perangkat lunak independen (ISV) dapat mencolokkan modul pemfilteran khusus.
  • Bekerja dengan IPv4 dan IPv6.
  • Memungkinkan pemfilteran, modifikasi, dan injeksi ulang data.
  • Melakukan pemrosesan paket dan aliran.
  • Memungkinkan pemfilteran paket diaktifkan per aplikasi, per pengguna, dan per koneksi selain per antarmuka jaringan atau per port.
  • Memberikan keamanan waktu boot hingga Mesin Pemfilteran Dasar (BFE) dapat dimulai.
  • Mengaktifkan pemfilteran koneksi stateful.
  • Menangani data pra dan pasca terenkripsi IPsec.
  • Memungkinkan integrasi kebijakan pemfilteran IPsec dan firewall.
  • Menyediakan infrastruktur manajemen kebijakan untuk menentukan kapan filter tertentu harus diaktifkan. Ini termasuk mediasi persyaratan yang bertentangan dari beberapa filter yang disediakan oleh vendor yang berbeda.
  • Menangani sebagian besar penyusunan ulang paket dan pelacakan status.
  • Termasuk sistem pemberitahuan pengguna generik yang menginformasikan pelanggan tentang perubahan pada sistem pemfilteran.
  • Menerapkan fungsi enumerasi yang melaporkan status sistem.
  • Menggunakan peristiwa bersih untuk merekam kesalahan IPsec dan penurunan paket.
  • Mendukung kelas pembantu Network Diagnostics Framework (NDF).
  • Mendukung ekstensi Secure Socket ke Winsock API, yang memungkinkan aplikasi jaringan untuk mengamankan lalu lintas mereka dengan mengonfigurasi WFP.
  • Pada lapisan Application Layer Enforcement (ALE), berdampak minimal pada performa jaringan dengan hanya memproses paket pertama dalam koneksi.
  • Mengintegrasikan offload perangkat keras di mana modul callout mode kernel dapat menggunakan perangkat keras untuk melakukan inspeksi paket tertentu.

Arsitektur WFP

Operasi WFP

Penerapan Lapisan Aplikasi (ALE)

Konfigurasi IPsec

Konfigurasi WFP

Pemantauan WFP

WFP API