Windows 필터링 플랫폼 정보
WFP(Windows 필터링 플랫폼)는 Windows XP 및 Windows Server 2003 네트워크 트래픽 필터링 인터페이스를 대체하도록 설계된 네트워크 트래픽 처리 플랫폼입니다. WFP는 네트워크 스택에 대한 후크 집합과 네트워크 스택 상호 작용을 조정하는 필터링 엔진으로 구성됩니다.
WFP 구성 요소
필터 엔진
커널 모드와 사용자 모드 모두에서 호스트되는 핵심 다중 계층 필터링 인프라는 Windows XP 및 Windows Server 2003 네트워킹 하위 시스템의 여러 필터링 모듈을 대체합니다.
- shim이 제공할 수 있는 데이터 필드에 대해 시스템의 모든 계층에서 네트워크 트래픽을 필터링합니다.
- 분류하는 동안 설명선 호출을 사용하여 "설명선" 필터를 구현합니다.
- 적용을 위해 호출한 shim에 "허용" 또는 "차단" 작업을 반환합니다.
- 다양한 정책 원본 간에 중재를 제공합니다. 예를 들어 은 애플리케이션과 관련된 네트워크 트래픽을 보호하도록 애플리케이션을 구성하지만 로컬 방화벽은 애플리케이션 보안 트래픽을 방지하도록 구성된 경우 우선 순위를 결정합니다.
BFE(기본 필터링 엔진)
Windows 필터링 플랫폼의 작업을 제어하는 서비스입니다. 다음 작업을 수행합니다.
- 플랫폼에 대한 필터 및 기타 구성 설정을 허용합니다.
- 통계를 포함하여 시스템의 현재 상태를 보고합니다.
- 플랫폼에서 구성을 수락하기 위해 보안 모델을 적용합니다. 예를 들어 로컬 관리자는 필터를 추가할 수 있지만 다른 사용자는 필터만 볼 수 있습니다.
- 구성 설정을 시스템의 다른 모듈로 연결합니다. 예를 들어 IPsec 협상 정책은 IKE/AuthIP 키 지정 모듈로 이동하고 필터는 필터 엔진으로 이동합니다.
Shim
네트워크 스택과 필터 엔진 사이에 상주하는 커널 모드 구성 요소입니다. Shim은 필터 엔진에 대해 분류하여 필터링을 결정합니다. 다음은 사용 가능한 shim 목록입니다.
- ALE(애플리케이션 계층 적용) shim.
- 전송 계층 모듈 shim.
- 네트워크 계층 모듈 shim.
- ICMP(Internet Control Message Protocol) Error shim.
- shim을 삭제합니다.
- 스트림 shim.
설명선
드라이버에서 노출하고 특수 필터링에 사용되는 함수 집합입니다. "허용" 및 "차단"의 기본 작업 외에도 설명선은 인바운드 및 아웃바운드 네트워크 트래픽을 수정하고 보호할 수 있습니다. 설명선에 대한 자세한 내용은 WDK(Windows 드라이버 키트) 설명서의 Windows 필터링 플랫폼 설명 서 항목을 참조하세요. WFP는 다음 작업을 수행하는 기본 제공 설명선입니다.
- IPsec 처리를 수행합니다.
- 상태 저장 필터링 동작을 조정합니다.
- 스텔스 모드 필터링(요청되지 않은 패킷 자동 삭제)을 수행합니다.
- TCP 굴뚝 오프로드를 제어합니다.
- Teredo 서비스와 상호 작용합니다.
필터 엔진을 사용하면 타사 설명선이 각 커널 모드 계층에 등록할 수 있습니다.
애플리케이션 프로그래밍 인터페이스
개발자가 네트워크 필터링 애플리케이션을 빌드하고 관리하는 데 사용할 수 있는 데이터 형식 및 함수 집합입니다. 이러한 데이터 형식 및 함수는 여러 API 집합으로 그룹화됩니다.
WFP 기능
- ISV(독립 소프트웨어 공급업체)가 특수 필터링 모듈을 플러그 인할 수 있는 패킷 필터링 인프라를 제공합니다.
- IPv4 및 IPv6 모두에서 작동합니다.
- 데이터 필터링, 수정 및 다시 삽입을 허용합니다.
- 패킷 및 스트림 처리를 모두 수행합니다.
- 네트워크 인터페이스 또는 포트당 외에도 애플리케이션별, 사용자별 및 연결별로 패킷 필터링을 사용하도록 설정할 수 있습니다.
- BFE(기본 필터링 엔진)가 시작될 때까지 부팅 시간 보안을 제공합니다.
- 상태 저장 연결 필터링을 사용하도록 설정합니다.
- 사전 및 사후 IPsec 암호화 데이터를 모두 처리합니다.
- IPsec 및 방화벽 필터링 정책의 통합을 허용합니다.
- 특정 필터를 활성화해야 하는 시기를 결정하는 정책 관리 인프라를 제공합니다. 여기에는 여러 공급업체에서 제공하는 여러 필터의 충돌하는 요구 사항을 중재하는 것이 포함됩니다.
- 대부분의 패킷 재어셈블리 및 상태 추적을 처리합니다.
- 구독자에게 필터링 시스템의 변경 내용을 알리는 일반 사용자 알림 시스템을 포함합니다.
- 시스템 상태를 보고하는 열거형 함수를 구현합니다.
- net 이벤트를 사용하여 IPsec 오류 및 패킷 삭제를 기록합니다.
- NDF(네트워크 진단 프레임워크) 도우미 클래스를 지원합니다.
- 네트워크 애플리케이션이 WFP를 구성하여 트래픽을 보호할 수 있도록 Winsock API에 대한 Secure Socket 확장을 지원합니다.
- ALE(애플리케이션 계층 적용) 계층에서는 연결의 첫 번째 패킷만 처리하여 네트워크 성능에 최소한의 영향을 줍니다.
- 커널 모드 설명선 모듈이 하드웨어를 사용하여 특정 패킷 검사를 수행할 수 있는 하드웨어 오프로드를 통합합니다.