WFP之WFP简介

·过滤引擎是WFP的核心组成部分，过滤引擎分为两大层：用户态基础过滤引擎和内核态过滤引擎。基础过滤引擎会与内核过滤引擎交互。
·内核态过滤引擎是整个过滤引擎的主体，内部分为多个分层，每分层都代表着网络协议栈特定的层。每个分层存在子层和过滤器。内核过滤引擎检查网络数据包是否

命中过滤器的规则，命中的过滤器，执行这些过滤器指定的动作。
·一般，过滤的动作为放行或拦截网络数据包。实际中，内核过滤引擎的分层中，存在多个子层和多个过滤器。一次网络事件，可能同时命中多个过滤器的规则，而且

这些过滤器可能有不同的过滤动作。为了计算最终的过滤动作，WFP引入了过滤仲裁器，过滤仲裁器计算最终的过滤动作交给内核态过滤引擎，然后内核态过滤引擎将

结果反馈给垫片。
·垫片是一种特殊的内核模块，安插在系统的网络协议栈的不同层中，获取网络协议栈的数据，通过内核过滤引擎提供的API，将数据传到相应的WFP分层中。作用有

二种：获取网络数据传递给内核态过滤引擎，把内核态过滤引擎的过滤结果反馈给网络协议栈。对于开发者是透明的。
·呼出接口是WFP框架中的重要数据结构，也是能力的扩展。由一系列回调函数组成，当网络数据命中过滤器且此过滤器定义了一个呼出接口，那么对应的回调函数就

被调用。有一个唯一识别此呼出接口的GUID。
·分层是网络数据包的分类，根据需要与相应的分层交互。分层是一个容器，里面包含了0或一个过滤器，还可能包含一个或多个子层。每个分层有一个唯一的值标识

，内核态是64位的LUID来标识。用户态用128位GUID来标识。
·子层是分层更小的一个划分，一个分层可以分为多个子层，每个子层有一个权重，权重越大，优先级越高。当数据达到分层时，子层的权值越大，越早获取到数据。
·过滤器是存在WFP的分层中，是一套规则和动作的集合，规则指明了对那些数据包感兴趣，过滤那些数据包。过滤器的规则被命中时，过滤器里面指定的动作会被

WFP执行。一个过滤器有一个或多个过滤条件，当全部成立时，才命中。使用时，必须知道过滤器被添加到内核过滤引擎的那一个分层中，不同分层中，可以过滤到不

同层次的网络数据。统一层内，可存多个过滤器，不同过滤器有不同的权重，为了避免重复，可指定一个子层，只保证子层中的过滤器权重不重复就可以。过滤器关联

子层后，按照权重值大到小匹配子层的过滤器。子层内，WFP也是按照过滤器的权值，大到小匹配过滤器的规则。过滤器可以关联分层和子层，还可以关联呼出接口。

在复杂的分析和处理的情况下，过滤器一般要关联一个呼出接口，当命中时，执行与过滤器关联的呼出接口内的回调函数
·呼出接口包含三个回调函数，notifyFn,classifyFn,flowDeleterFn。 classifyFn 规则被命中，执行此函数，获取网络数据包的相关信息，所得内容取决于所过

滤的分层，此接口还可以设置对网络数据包的允许和拦截。notifyFnl当过滤器被添加或移除时，WFP会调用此函数，知道呼出接口关联的过滤器的操作情况。

flowDeleterFn 当一个网络数据流将要被终止时，WFP或调用此函数，而且将要终止的数据流被关联了上下，才会被调用，用来清理别关联的上下文。

WFP步骤
·定义一个或多个呼出接口，然后向过滤引擎注册呼出接口。
·添加呼出接口道过滤引擎。
·设计一个或多个引擎，把子层添加到分层中
·设计过滤器，把呼出接口，子层，分层，过滤器关联，向过滤引擎添加过滤器