Windows 필터링 플랫폼

Windows Filtering Platform(WFP)은 Windows Vista 이후의 일련의 시스템 서비스로 Windows 소프트웨어가 네트워크 트래픽을 처리하고 필터링할 수 있도록 합니다.Microsoft는 방화벽, 말웨어 대책 소프트웨어 및 보호자 통제 앱에서 사용하는 WFP를 의도했습니다.또한 WFP는 NAT 구현 및 IPSec 정책 설정 저장에 사용됩니다.

WFP는 Windows Vista의 차세대 TCP/IP 스택에 의존합니다.통합 통신 및 애플리케이션별 처리 로직 등의 기능을 제공합니다.Windows 8 및 Windows Server 2012 이후 WFP는 TCP/IP 스위트의 두 번째 레이어에서 필터링을 허용합니다.

구성 요소들

필터링 플랫폼에는 다음 구성 요소가 있습니다.

• 심: 패킷 내부 구조를 속성으로 공개합니다.프로토콜에 대해 계층마다 다른 심이 존재합니다.WFP는 일련의 심과 함께 제공되며, 사용자는 API를 사용하여 심을 다른 프로토콜에 등록할 수 있습니다.내장된 심 세트에는 다음이 포함됩니다.
  • 응용 프로그램 층 적용(ALE) 심
  • 트랜스포트 레이어 모듈(TLM) 심
  • 네트워크층 모듈(NLM) 심
  • RPC 런타임 심
  • ICMP(Internet Control Message Protocol) 심
  • 스트림 심

• 커널 모드와 사용자 모드 모두에 걸쳐 기본 필터링 기능을 제공하는 필터링 엔진입니다.패킷내의 데이터(심(shims에 의해서 공개되는 것)를 필터링 룰과 대조해, 패킷을 블록 또는 허가합니다.콜아웃(아래 참조)은 필요에 따라 다른 액션을 실행할 수 있습니다.필터는 애플리케이션 단위로 동작합니다.필터 간의 충돌을 완화하기 위해 필터에는 가중치(우선도)가 부여되고 하위 계층으로 그룹화되며, 하위 계층에도 가중치가 있습니다.필터 및 콜아웃은 이름과 설명을 지정할 수 있으며 기본적으로 특정 응용 프로그램 또는 서비스와 관련되어 있는 공급자와 관련지을 수 있습니다.
• 필터링 엔진을 관리하는 모듈인 기본 필터링 엔진.필터링 규칙을 받아들이고 응용 프로그램의 보안 모델을 적용합니다.또, WFP 의 통계 정보를 보관 유지하고, 그 상태를 로그에 기록합니다.
• Callout: 필터링 드라이버에 의해 공개되는 콜백 함수.필터링 드라이버는 기본 차단/허용 이외의 필터링 기능을 제공합니다.관리자는 필터 규칙 등록 시 콜아웃 함수를 지정합니다.필터가 일치하면 시스템은 지정된 액션을 처리하는 콜아웃을 호출합니다.

진단

Windows 7 에서는, netsh 커맨드로 WFP 의 내부 상태를 진단할 수 있습니다.

핫픽스

Microsoft는 메모리 누수, 원격 데스크톱 연결 세션 중 연결 끊김 또는 블루스크린 사망의 원인이 될 수 있는 문제에 대처하기 위해 Windows Vista 및 Windows 7에서 3가지 대역 외 핫픽스를 발표했습니다.나중에 이러한 핫픽스는 하나의 ^[1]패키지로 롤업되었습니다.

레퍼런스

외부 링크

• Windows 필터링 플랫폼아키텍처의 개요