TCP/IP 数据包处理路径,了解WINDOWS防火墙,更好的保护系统

核心提示： 如果需要，Windows 防火墙会在例外列表中添加一个动态项目，TCP/IP 数据包处理路径,了解WINDOWS防火墙,更好的保护系统(3)，来允许响应流量，处理完后，若对计算机应用了“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置，Ipsec.

如果需要，Windows 防火墙会在例外列表中添加一个动态项目，来允许响应流量。

处理完后，Ipnat.sys 会将该 IP 数据包传回给 Tcpip.sys，而后者会使用 IP 转发组件，确定下一跃点 IP 地址和接口。有关详细信息，请参阅认识 IP 路由表。

Tcpip.sys 将数据包传递给筛选器挂钩驱动程序 (Ipfltdrv.sys) 进行处理。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。

若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。

Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。有关 IPsec 筛选器的详细信息，请参阅IPsec 筛选器排序（2005 年 2 月发布的 网络专家 专栏文章。

Tcpip.sys 随后会通过下一跃点接口，将该数据包发送到下一跃点 IP 地址。

目标流量

接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipsec.sys 进行处理。

若数据包带有 IPsec 保护（指示验证头 [AH] 或封装式安全措施负载 [ESP] 的 IP 协议字段值），将对其进行处理并加以移除。若对计算机应用了“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置，Ipsec.sys 将设置一个与该数据包相关联的 IPsec Bypass 标记。Ipsec.sys 将结果数据包传回给 Tcpip.sys。