TCP/IP 数据包处理路径,了解WINDOWS防火墙,更好的保护系统

核心提示： 中转流量接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理，TCP/IP 数据包处理路径,了解WINDOWS防火墙,更好的保护系统(5)，Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比，

中转流量

接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理。

Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。

若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。

Tcpip.sys 将数据包传递给 IP 转发组件，由后者确定用于转发该数据包的下一跃点接口和地址。

2. 　Tcpip.sys 将该数据包传递给 Ipnat.sys。

若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Intranet 的专用接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若 Internet 连接共享或 NAT/基本防火墙找到了匹配项，将转换该 IP 数据包，并将结果数据包当作源流量。若 Internet 连接共享或 NAT/基本防火墙未找到匹配项，将创建一个新的 NAT 转换表项，转换 IP 数据包，并将结果数据包当作源流量。

若未启用 Internet 连接共享，Ipnat.sys 就会将 IP 数据包传回给 Tcpip.sys。

3. 　Tcpip.sys 将该数据包传递给 Ipfltdrv.sys。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。

若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。

4. 　Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。 若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。

Tcpip.sys 随后会通过下一跃点接口，将该 IP 数据包发送到下一跃点地址。

对于运行 Windows XP SP2 或 Windows Server 2003 SP1 并采取常规配置的客户端或服务器计算机（不充当路由器或 NAT，并禁用了 TCP/IP 筛选），源流量的数据包处理路径涉及以下组件：

1. 　Windows 防火墙

2. 　IPsec

对于上述采用常规配置的基于 Windows 的计算机来说，目标流量的数据包处理路径涉及以下组件：

1. 　IPsec

2. 　Windows 防火墙

若使用了 IPsec，并启用了 Windows 防火墙，那么可能需要配置这两个组件，以允许想要的流量。譬如，要是您正在配置一台 Web 服务器，并使用 IPsec 保护发往该服务器的 Web 流量，就必须配置以下项目：

1. 　一个 IPsec 规则（要求发往和发自该服务器的 IP 地址和 TCP 端口 80 的安全性）。

2. 　一个 TCP 端口 80 的 Windows 防火墙例外。

该 IPsec 规则可确保发往 Web 服务器服务的流量受到保护。该 Windows 防火墙例外可确保 Windows 防火墙不会丢弃未经请求的传入请求，来通过 TCP 端口 80 创建到 Web 服务器的连接。由于 IPsec 和 Windows 防火墙都作为单独的组件处理 IP 数据包，因此必须同时配置这两个组件。要是不想让 Windows 防火墙处理受 IPsec 保护的数据包，请配置“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置。