Windows Filtering Platform

Windows Filtering Platform

Windows Filtering Platform (WFP) — набор системных служб и API появившийся с Windows NT 6.0. Он позволяет независимым поставщикам программного обеспечения (ISV), фильтровать и изменять TCP/IP-пакеты, следить и разрешать соединения.

Ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое «Windows Filtering Platform» в других словарях:

Windows Filtering Platform — (WFP) is a set of system services and an API included in Windows Vista and Windows Server 2008 that allows applications to tie into the packet processing and filtering pipeline of the new network stack. It provides features such as integrated… … Wikipedia

Windows Vista networking technologies — This article is part of a series on Windows Vista New features Overview Technical and core system Security and safety Networking technologies I/O technologies Management and administration Removed features … Wikipedia

Windows Search — (formerly known as Windows Desktop Search or WDS on Windows XP and Windows Server 2003) is an indexed desktop search platform released by Microsoft for the Windows operating system.[citation needed] Windows Search for Windows Vista, Windows 7,… … Wikipedia

Windows Template Library — Тип библиотека (программирование) Разработчик Nenad Stefanovic Написана на С++ Операционная система Microsoft Windows Последняя версия WTL 8.1.11324 (21.11.2011) Лицензия … Википедия

Windows Script Host — (WSH; первоначально назывался Windows Scripting Host, был переименован ко второму выпуску) компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript, а также и на других дополнительно… … Википедия

Windows PowerShell — Windows PowerShell … Википедия

Windows Image Acquisition — (WIA, иногда называемая Windows Imaging Architecture) это модель драйверов от компании Майкрософт, а также API для Windows ME и более поздних операционных систем семейства Windows. Данная модель позволяет графическим программам… … Википедия

Windows CardSpace — в составе .NET Framework Windows CardSpace ныне отмененное клиентское ПО с патентованной технологией единого входа от Microsoft. WCS это способ идентификации пользователей при пе … Википедия

Windows Media — Windows Media мультимедийный набор от Microsoft для создания и распространения аудио и видеофайлов для Windows. Включает набор средств разработки и интерфейс программирования приложений. Составляющие Приложения Windows Media Encoder Windows … Википедия

Windows Driver Foundation — Разработчик Microsoft Операционная система Windows Языки интерфейса Английский Последняя версия 1.9 Состояние Active Windows Driver Foundation (WDF) набор программных инструментов от корп … Википедия

About Windows Filtering Platform

Windows Filtering Platform (WFP) is a network traffic processing platform designed to replace the Windows XP and Windows Server 2003 network traffic filtering interfaces. WFP consists of a set of hooks into the network stack and a filtering engine that coordinates network stack interactions.

The WFP components

Filter Engine

The core multi-layer filtering infrastructure, hosted in both kernel-mode and user-mode, that replaces the multiple filtering modules in the Windows XP and Windows Server 2003 networking subsystem.

• Filters network traffic at any layer in the system over any data fields that a shim can provide.
• Implements the «Callout» filters by invoking callouts during classification.
• Returns «Permit» or «Block» actions to the shim that invoked it for enforcement.
• Provides arbitration between different policy sources. For example, determines priority when an application is configured to secure any network traffic related to it, but the local firewall is configured to prevent application secured traffic.

Base Filtering Engine (BFE)

A service that controls the operation of the Windows Filtering Platform. It performs the following tasks.

• Accepts filters and other configuration settings for the platform.
• Reports the current state of the system, including statistics.
• Enforces the security model for accepting configuration in the platform. For example, a local administrator can add filters but other users can only view them.
• Plumbs configuration settings to other modules in the system. For example, IPsec negotiation polices go to IKE/AuthIP keying modules, filters go to the filter engine.

Shims

Kernel-mode components that reside between the Network Stack and the filter engine. Shims make the filtering decision by classifying against the filter engine. Following is a list of available shims.

• Application Layer Enforcement (ALE) shim.
• Transport Layer Module shim.
• Network Layer Module shim.
• Internet Control Message Protocol (ICMP) Error shim.
• Discard shim.
• Stream shim.

Callouts

Set of functions exposed by a driver and used for specialized filtering. Besides the basic actions of «Permit» and «Block», callouts can modify and secure inbound and outbound network traffic. See the Windows Filtering Platform Callout Drivers topic in the Windows Driver Kit (WDK) documentation for more information on callouts. WFP provides built-in callouts that accomplish the following tasks.

• Perform IPsec processing.
• Adjust stateful filtering behavior.
• Perform stealth mode filtering (silent drop of packets that were not requested).
• Control TCP chimney offload.
• Interact with the Teredo service.

The filter engine allows third-party callouts to register at each of its kernel-mode layers.

Application Programming Interface

A set of data types and functions available to the developers to build and manage network filtering applications. These data types and functions are grouped into multiple API sets.

Платформа фильтрации Windows — Windows Filtering Platform

Платформа фильтрации Windows (WFP) — это набор системных служб в Windows Vista и более поздних версиях, которые позволяют программному обеспечению Windows обрабатывать и фильтровать сетевой трафик. Microsoft планировала использовать WFP для брандмауэров , программного обеспечения для защиты от вредоносных программ и приложений родительского контроля . Кроме того, WFP используется для реализации NAT и для хранения конфигурации политики IPSec.

WFP использует стек TCP / IP нового поколения Windows Vista . Он предоставляет такие функции, как интегрированная связь и логика обработки для каждого приложения. Начиная с Windows 8 и Windows Server 2012, WFP позволяет фильтровать на втором уровне пакета TCP / IP .

СОДЕРЖАНИЕ

Составные части

Платформа фильтрации включает в себя следующие компоненты:

• Прокладки , которые раскрывают внутреннюю структуру пакета как свойства. Для протоколов на разных уровнях существуют разные прокладки . WFP поставляется с набором регулировочных шайб; пользователи могут регистрировать прокладки для других протоколов с помощью API. В комплект шайб входят:
  • Прокладка Application Layer Enforcement (ALE)
  • Прокладка модуля транспортного уровня (TLM)
  • Прокладка модуля сетевого уровня (NLM)
  • Прокладка среды выполнения RPC
  • Прокладка протокола управляющих сообщений Интернета (ICMP)
  • Регулировочная шайба

• Фильтрование двигателя , который охватывает оба режим ядра и пользовательский режим , обеспечивая основные возможности фильтрации. Он сопоставляет данные в пакете — как показано с помощью прокладок — с правилами фильтрации и либо блокирует, либо разрешает пакет. Выноска (смотри ниже) может реализовывать любое другое действие по мере необходимости. Фильтры работают для каждого приложения. Чтобы смягчить конфликты между фильтрами, им присваиваются веса (приоритеты) и они сгруппированы в подслои , которые также имеют веса. Фильтры и выноски могут быть связаны с поставщиками, которым можно дать имя и описание, и которые по существу связаны с конкретным приложением или услугой.
• Базовый механизм фильтрации , модуль, который управляет механизмом фильтрации. Он принимает правила фильтрации и обеспечивает соблюдение модели безопасности приложения. Он также ведет статистику по WFP и регистрирует его состояние.
• Callout , функция обратного вызова , предоставляемая драйвером фильтрации. Драйверы фильтрации предоставляют возможности фильтрации, отличные от блокировки / разрешения по умолчанию. Администраторы указывают функцию выноски во время регистрации правила фильтрации. Когда фильтр совпадает, система вызывает выноску, которая обрабатывает указанное действие.

Диагностика

Начиная с Windows 7 , команда netsh может диагностировать внутреннее состояние WFP.

Исправление

Microsoft выпустила три внеполосных исправления для WPF в Windows Vista и Windows 7 для решения проблем, которые могли вызвать утечку памяти, потерю связи во время сеанса подключения к удаленному рабочему столу или синий экран смерти . Позже эти исправления были объединены в один пакет.

Windows Filtering Platform

Purpose

Windows Filtering Platform (WFP) is a set of API and system services that provide a platform for creating network filtering applications. The WFP API allows developers to write code that interacts with the packet processing that takes place at several layers in the networking stack of the operating system. Network data can be filtered and also modified before it reaches its destination.

By providing a simpler development platform, WFP is designed to replace previous packet filtering technologies such as Transport Driver Interface (TDI) filters, Network Driver Interface Specification (NDIS) filters, and Winsock Layered Service Providers (LSP). Starting in Windows Server 2008 and Windows Vista, the firewall hook and the filter hook drivers are not available; applications that were using these drivers should use WFP instead.

With the WFP API, developers can implement firewalls, intrusion detection systems, antivirus programs, network monitoring tools, and parental controls. WFP integrates with and provides support for firewall features such as authenticated communication and dynamic firewall configuration based on applications’ use of sockets API (application-based policy). WFP also provides infrastructure for IPsec policy management, change notifications, network diagnostics, and stateful filtering.

Windows Filtering Platform is a development platform and not a firewall itself. The firewall application that is built into Windows Vista, Windows Server 2008, and later operating systems Windows Firewall with Advanced Security (WFAS) is implemented using WFP. Therefore, applications developed with the WFP API or the WFAS API use the common filtering arbitration logic that is built into WFP.

The WFP API consists of a user-mode API and a kernel-mode API. This section provides an overview of the entire WFP and describes in detail only the user-mode portion of the WFP API. For a detailed description of the kernel-mode WFP API, see the Windows Driver Kit online help.

Developer audience

The Windows Filtering Platform API is designed for use by programmers using C/C++ development software. Programmers should be familiar with networking concepts and design of systems using user-mode and kernel-mode components.

Run-time requirements

The Windows Filtering Platform is supported on clients running Windows Vista and later, and on servers running Windows Server 2008 and later. For information about the run-time requirements for a specific programming element, see the Requirements section of the reference page for that element.

In this section

Topic	Description
What’s New in Windows Filtering Platform	Information on new features and APIs in Windows Filtering Platform.
About Windows Filtering Platform	An overview of Windows Filtering Platform.
Using Windows Filtering Platform	Example code using the Windows Filtering Platform API.
Windows Filtering Platform API Reference	Documentation for the Windows Filtering Platform functions, structures, and constants.

Additional resources

To ask questions and have discussions about using the WFP API, visit the Windows Filtering Platform Forum.

Краткий обзор Windows Filtering Platform

Здесь я постараюсь дать небольшой обзор WFP, а также затронуть некоторые
технические моменты. Без каких-либо претензий на полноту, точность и т.д.

WFP расшифровывается как Windows Filtering Platform, платформа фильтрации Windows.
Внимание ! Не путать с технологией WPF из .NET !

WFP — это универсальная технология фильтрации сети, охватывающая все основные
уровни, от транспортного (TCP/UDP) до канального (Ethernet), и дающая разработчикам
массу интересных возможностей.

До WFP разработчики фаерволов, спам-фильтров, родконтролей и других программ
такого плана были вынуждены использовать сложные, разрозненные, а часто просто
недокументированные способы, которые во многих отношениях не давали нужного
эффекта или требовали высокой квалификации и учета многочисленных деталей, с
которыми то и дело возникали проблемы при переносе на другие версии Windows.
Пример таких технологий — TDI, LSP, NDIS, а также старые Filter-Hook Drivers и
Firewall-Hook Drivers. В WFP многие типовые проблемы этих технологий были учтены,
некоторые решения вообще не имеют аналогов, либо тяжелореализуемы в TDI/LSP/NDIS.
Сама технология имеет достаточно простую и понятную объектную модель, хорошо
документирована и при желании ее может освоить человек весьма средней квалификации.

Добавлю, что WFP — единственная на сегодняшний день технология, позволяющая
полноценно фильтровать трафик от modern-приложений на Windows 8 и выше.
И не только. Например, TDI и LSP в настоящее время уже не справляются даже с
Internet Explorer 11 на Windows 7. Поэтому при выборе технологии для нового проекта
следует в первую очередь рассматривать WFP, и только потом (если есть причины,
например совместимость с XP или отсутствие каких-то важных функций WFP на
целевых версиях Windows) другие.

Появилась в Windows Vista, с тех пор постепенно развивается и дополняется.
В Windows 7 появилась возможность фильтрации на уровне Ethernet, возможность
делать редиректы соединений (как исходящих, так и входящих), а также разные
вспомогательные функции, например для своевременной очистки ресурсов.
В Windows 8 появилось то, чего так долго ждали некоторые разработчики —
возможность многократно перекидывать соединение с одного прокси на другой.
Раньше из-за отсутствия этой возможности было почти нереальным иметь в системе,
к примеру, параллельно работающий фаервол и какой-нибудь спам-фильтр от
разных производителей. Есть и другие изменения, все они описаны в MSDN.

Лично для меня ложкой дегтя в WFP является то, что наиболее «вкусные» вещи в
ней появились только в Windows 7 — Windows 8 и для того, чтобы сделать
коммерческий продукт, реально совместимый со всей современной линейкой Windows,
не списывая со счетов XP и Vista, все равно приходится использовать TDI/LSP
вместе с WFP. Также я замечал, что документация местами недостаточно детальная, а
кое-где содержит ошибки. В итоге приходилось иногда закапываться надолго в
отладчик, чтобы узнать, в чем дело. И в WFP, как и в любой технологии, есть
недочеты и даже ошибки. Сам я с ними на практике не сталкивался, но не раз
слышал о проблемах с Teredo, например, в результате чего система выпадает в
синий экран (BSOD).

Документация и исходники.

Главный источник информации по WFP — конечно же, MSDN.
Обращаю внимание, что WFP имеет функции как в kernel mode, так и в user mode,
поэтому одну часть документации следует искать в разделе о программировании
драйверов, а вторую — в разделе «network programming» из WinAPI:

Аналогично, исходники примеров для WFP есть как в Windows SDK Samples (diagevents и
msnfilter) и в Windows Driver Kit Samples (ddproxy, inspect, msnmntr и stmedit).
Вероятно, на MSDN Gallery можно найти и другие исходники, а где-нибудь на codeproject,
sourceforge и других опенсорсных хостингах — исходники проектов с использованием WFP.

В следующей части: Архитектура WFP, объектная модель, принципы работы.