[讨论]开发防火墙方案选用WFP还是NDIS Filter？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]开发防火墙方案选用WFP还是NDIS Filter？

发表于: 2019-4-16 16:33 7456

[讨论]开发防火墙方案选用WFP还是NDIS Filter？

ozymandias 活跃值

2019-4-16 16:33

7456

大家好，请问要是开发防火墙选用WFP和NDIS Filter哪个方案好？我在网上查到windivert这个库是采用WFP技术的，省去了驱动开发这块，上手应该是最快的吧。

从兼容性上和性能上来对比这两个技术哪个更好呢？NDIS的资料挺少的，有基于这个做抓包的。但是没有发现有做防火墙的例子。NDIS Filter是不是比WFP更底层，可以针对MAC地址过滤。WFP只有在win8以后才开始支持。WFP应该是未来的趋势吧。逐渐代替NDIS Filter？

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・4

免费・0

支持

最新回复 (16)
叁毛雪币： 17 活跃值： (313) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 2 楼建议你逆向下win10的windefend的高级防火墙驱动 2019-4-16 18:06 0
zhatian 雪币： 6548 活跃值： (3902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 3 楼你问了一大堆问题，一个一个测试就知道了。要是不想浪费时间爬坑是需要￥的。 2019-4-16 20:12 0
pccq 雪币： 75 活跃值： (613) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 4 楼 wfp是vista以后支持的 2019-4-16 20:25 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 5 楼 pccq wfp是vista以后支持的是的 2019-4-17 09:07 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 6 楼 WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理更方便，数据过滤不用自己组包，还有context可以记录进程，数据流等N多信息；NDIS更底层，能抓到更多的包，各种不同Media类型的数据包。然后。。。wfp是内嵌在tcpip.sys协议驱动里的，如果自己写个协议驱动发包，wfp是抓不到的，wfp的核心是bfe，bfe大部分在R3，如果被干掉所有wfp都gg了。NDIS可以抓到协议驱动发的包，但是进程信息只能配合tdi或者wfp获取，另外，NDIS IMD或者NDIS filter安装过程会断一下网，所以对无盘环境支持不太好，断一下网对有的软件是致命的，比如teamview之类的，N多没有重连机制的软件都会gg，这也是为什么NDIS的防火墙基本都会要求重新启动系统了。 2019-4-17 09:40 3
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 7 楼 sylingyy WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理 ... 受教了，那性能方面这两个技术哪个更好呢？比如在10Gbps网络环境下，流量通过防火墙会怎么样呢？ 2019-4-17 10:03 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 8 楼 ozymandias 受教了，那性能方面这两个技术哪个更好呢？比如在10Gbps网络环境下，流量通过防火墙会怎么样呢？性能只取决于你处理数据的算法，这两块本身基本不存在性能问题。 2019-4-17 10:22 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 9 楼 sylingyy 性能只取决于你处理数据的算法，这两块本身基本不存在性能问题。还有一个问题是，如果想针对数据包的内容过滤，类似于应用防火墙，是不是要把数据包传输到应用层来过滤呢？还是在驱动层做过滤呢？ 2019-4-17 10:34 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 10 楼 ozymandias 还有一个问题是，如果想针对数据包的内容过滤，类似于应用防火墙，是不是要把数据包传输到应用层来过滤呢？还是在驱动层做过滤呢？技术上都可以，一般的应用层协议在内核就可以做，用wfp的数据流省去组包的麻烦，但是如果涉及ssl之类的就要放到应用层了，比如https内容过滤，内核操作ssl太麻烦了。 2019-4-17 10:57 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 11 楼 sylingyy 技术上都可以，一般的应用层协议在内核就可以做，用wfp的数据流省去组包的麻烦，但是如果涉及ssl之类的就要放到应用层了，比如https内容过滤，内核操作ssl太麻烦了。如果是在驱动层做的话，也是通过读取规则的配置文件么？ 2019-4-17 11:13 0
MRRighter 雪币： 8 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	MRRighter 12 楼同样支持WFP 2019-4-17 12:44 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 13 楼 MRRighter 同样支持WFP 是的 2019-4-17 14:17 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 14 楼 sylingyy WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理 ... 刚才装了安全狗，过滤驱动是用的NDIS Filter做的。安装完之后没提示要重启电脑 2019-4-17 14:29 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 15 楼 ozymandias 刚才装了安全狗，过滤驱动是用的NDIS Filter做的。安装完之后没提示要重启电脑我说的提示是软件自身的事情，系统肯定不会提示你重启。提示是为了更好的用户体验，不提示的或许还没遇到出问题的情况或者他们认为不需要提示，出问题让你自己看着办。刚好遇到断网不会重连的app，只能自己排查问题了。 2019-4-17 15:09 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 16 楼 sylingyy 我说的提示是软件自身的事情，系统肯定不会提示你重启。提示是为了更好的用户体验，不提示的或许还没遇到出问题的情况或者他们认为不需要提示，出问题让你自己看着办。刚好遇到断网不会重连的app，只能自己排查问 ... npcap是不是也可以做过滤驱动呢？它是用NDIS LWF来实现呢 2019-4-17 16:28 0
我们都不一样雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	我们都不一样 17 楼安装ndis会弹框，这个咋解决 2020-10-25 20:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ozymandias

发帖

回帖

RANK

关注

私信

他的文章

[讨论]开发防火墙方案选用WFP还是NDIS Filter？ 7457

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
叁毛雪币： 17 活跃值： (313) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 2 楼建议你逆向下win10的windefend的高级防火墙驱动 2019-4-16 18:06 0
zhatian 雪币： 6548 活跃值： (3902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 3 楼你问了一大堆问题，一个一个测试就知道了。要是不想浪费时间爬坑是需要￥的。 2019-4-16 20:12 0
pccq 雪币： 75 活跃值： (613) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 4 楼 wfp是vista以后支持的 2019-4-16 20:25 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 5 楼 pccq wfp是vista以后支持的是的 2019-4-17 09:07 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 6 楼 WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理更方便，数据过滤不用自己组包，还有context可以记录进程，数据流等N多信息；NDIS更底层，能抓到更多的包，各种不同Media类型的数据包。然后。。。wfp是内嵌在tcpip.sys协议驱动里的，如果自己写个协议驱动发包，wfp是抓不到的，wfp的核心是bfe，bfe大部分在R3，如果被干掉所有wfp都gg了。NDIS可以抓到协议驱动发的包，但是进程信息只能配合tdi或者wfp获取，另外，NDIS IMD或者NDIS filter安装过程会断一下网，所以对无盘环境支持不太好，断一下网对有的软件是致命的，比如teamview之类的，N多没有重连机制的软件都会gg，这也是为什么NDIS的防火墙基本都会要求重新启动系统了。 2019-4-17 09:40 3
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 7 楼 sylingyy WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理 ... 受教了，那性能方面这两个技术哪个更好呢？比如在10Gbps网络环境下，流量通过防火墙会怎么样呢？ 2019-4-17 10:03 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 8 楼 ozymandias 受教了，那性能方面这两个技术哪个更好呢？比如在10Gbps网络环境下，流量通过防火墙会怎么样呢？性能只取决于你处理数据的算法，这两块本身基本不存在性能问题。 2019-4-17 10:22 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 9 楼 sylingyy 性能只取决于你处理数据的算法，这两块本身基本不存在性能问题。还有一个问题是，如果想针对数据包的内容过滤，类似于应用防火墙，是不是要把数据包传输到应用层来过滤呢？还是在驱动层做过滤呢？ 2019-4-17 10:34 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 10 楼 ozymandias 还有一个问题是，如果想针对数据包的内容过滤，类似于应用防火墙，是不是要把数据包传输到应用层来过滤呢？还是在驱动层做过滤呢？技术上都可以，一般的应用层协议在内核就可以做，用wfp的数据流省去组包的麻烦，但是如果涉及ssl之类的就要放到应用层了，比如https内容过滤，内核操作ssl太麻烦了。 2019-4-17 10:57 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 11 楼 sylingyy 技术上都可以，一般的应用层协议在内核就可以做，用wfp的数据流省去组包的麻烦，但是如果涉及ssl之类的就要放到应用层了，比如https内容过滤，内核操作ssl太麻烦了。如果是在驱动层做的话，也是通过读取规则的配置文件么？ 2019-4-17 11:13 0
MRRighter 雪币： 8 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	MRRighter 12 楼同样支持WFP 2019-4-17 12:44 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 13 楼 MRRighter 同样支持WFP 是的 2019-4-17 14:17 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 14 楼 sylingyy WFP也可以过滤数据帧，所以MAC过滤不是问题，NDIS filter也是win7之后才有的，之前是用NDIS IMD 或者NDIS HOOK。没有什么优劣，各有长处，看你需求，wfp分层更明确，处理 ... 刚才装了安全狗，过滤驱动是用的NDIS Filter做的。安装完之后没提示要重启电脑 2019-4-17 14:29 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 15 楼 ozymandias 刚才装了安全狗，过滤驱动是用的NDIS Filter做的。安装完之后没提示要重启电脑我说的提示是软件自身的事情，系统肯定不会提示你重启。提示是为了更好的用户体验，不提示的或许还没遇到出问题的情况或者他们认为不需要提示，出问题让你自己看着办。刚好遇到断网不会重连的app，只能自己排查问题了。 2019-4-17 15:09 0
ozymandias 雪币： 21 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ozymandias 16 楼 sylingyy 我说的提示是软件自身的事情，系统肯定不会提示你重启。提示是为了更好的用户体验，不提示的或许还没遇到出问题的情况或者他们认为不需要提示，出问题让你自己看着办。刚好遇到断网不会重连的app，只能自己排查问 ... npcap是不是也可以做过滤驱动呢？它是用NDIS LWF来实现呢 2019-4-17 16:28 0
我们都不一样雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	我们都不一样 17 楼安装ndis会弹框，这个咋解决 2020-10-25 20:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复