Архитектура МПП
На следующем рисунке показана базовая архитектура платформы фильтрации Windows (МПП).
Подсистема фильтрации
Подсистема фильтрации содержит компонент пользовательского режима и компонент режима ядра, которые вместе выполняют все операции фильтрации с сетевыми данными. Подсистема фильтрации содержит несколько слоев фильтрации, которые слабо сопоставляются со слоями сетевого стека операционной системы. Уровни подсистемы фильтрации делятся на уровни пользовательского режима и уровни режима ядра в зависимости от компонента обработчика фильтров, которому они принадлежат.
Компонент пользовательского режима выполняет фильтрацию RPC и IPsec. Модуль фильтрации содержит примерно 10 уровней фильтрации в пользовательском режиме.
Компонент режима ядра выполняет фильтрацию на сетевом и транспортном уровнях стека TC/IP. Этот компонент также вызывает доступные функции выноски в процессе классификации . Подсистема фильтров содержит около 50 слоев фильтрации в режиме ядра.
Описание каждого из уровней подсистемы фильтрации см. в разделе Идентификаторы слоев фильтров.
Базовый модуль фильтрации
Базовый механизм фильтрации (BFE) — это служба в пользовательском режиме (bfe.dll выполняется в svchost.exe процессе), которая координирует компоненты МПП. Основными задачами, выполняемыми BFE, являются добавление и удаление фильтров из системы, хранение конфигурации фильтров и обеспечение безопасности конфигурации МПП. Приложения взаимодействуют с BFE с помощью функций управления МПП.
Драйверы выносок
Драйверы выносок предоставляют дополнительные функции фильтрации, добавляя пользовательские функции выносок в подсистему фильтрации на одном или нескольких уровнях фильтрации в режиме ядра. Выноски поддерживают глубокую проверку и изменение пакетов, а также потоковые изменения. После того как драйвер выноски добавит свои функции выноски в подсистему фильтрации, в процесс фильтрации можно добавить фильтры, указывающие функцию выноски данного драйвера. Такие фильтры могут быть добавлены приложением управления в пользовательском режиме или самим драйвером выноски. Интерфейс режима ядра, предоставляемый в пакете средств разработки Windows, следует использовать только при необходимости, а не в качестве замены API пользовательского режима.
Примечание
Дополнительные сведения о драйверах выносок см. в разделе Платформа фильтрации Windows пакета средств разработки Windows.
Платформа фильтрации Windows включает ряд встроенных функций выносок, которые можно использовать для безопасного обмена данными IPsec, параметров фильтрации с отслеживанием состояния и фильтрации в скрытом режиме. Полный список встроенных функций выносок см. в статье Встроенные идентификаторы выносок.
Связанные темы
-
Драйверы выносок платформы фильтрации Windows — руководство по проектированию
-
Справочник по драйверам выносок платформы фильтрации Windows
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по