淺談Windows的防火墻設(shè)計與實現(xiàn)論文

　　0引言

　　防火墻是建立在網(wǎng)絡(luò)外部環(huán)境與計算機系統(tǒng)之間的防護措施，其可以對網(wǎng)絡(luò)進行訪問控制，將非用戶允許的網(wǎng)絡(luò)入侵行為給予阻止和屏蔽。本文首先對Windows防火墻的功能、種類進行介紹，分析目前較為流行的Windows防火墻方案，并選擇其中一種較為理想的方案進行設(shè)計，最后完成對系統(tǒng)的主控模塊和數(shù)據(jù)包過濾的實現(xiàn)。

　　1Windows防火墻概述

　　1.1基本功能介紹

　　Windows防火墻的基本功能概括為其是在計算機網(wǎng)絡(luò)中對數(shù)據(jù)流的可信度在Windows操作系統(tǒng)中進行傳輸控制。首先，建立起計算機網(wǎng)絡(luò)安全策略;其次，對網(wǎng)絡(luò)通信數(shù)據(jù)進行掃描，將違反網(wǎng)絡(luò)安全策略的行為給予過濾;然后，防火墻具有通信端口管理功能，對暴露在網(wǎng)絡(luò)中的計算機危險端口在其不使用的過程中給予關(guān)閉，防止不法分子對網(wǎng)絡(luò)用戶進行攻擊。

　　1.2防火墻種類

　　防火墻可根據(jù)技術(shù)發(fā)展歷程進行劃分，劃分為包過濾型、代理型和檢測型防火墻。

　　包過濾型防火墻是基于網(wǎng)絡(luò)層與傳輸層中的識別和控制數(shù)據(jù)包發(fā)送方及接收方的護地址，并對IP地址進行分析，對來自未知護地址的數(shù)據(jù)包進行過濾。包過濾型防火墻配置簡單，處理速度快，但是其無法分析應(yīng)用層協(xié)議，無法規(guī)避系統(tǒng)漏洞風險，防火墻功能有限。

　　代理型防火墻是建立在互聯(lián)網(wǎng)與局域網(wǎng)之間的防護措施，互聯(lián)網(wǎng)絡(luò)數(shù)據(jù)進入局域網(wǎng)絡(luò)前要經(jīng)過防火墻的轉(zhuǎn)發(fā)，防火墻在應(yīng)用層進行訪問控制，對危險數(shù)據(jù)包不予以轉(zhuǎn)發(fā)。代理防火墻可以對網(wǎng)絡(luò)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層的特征進行檢測，但其處理速度較慢，無法實現(xiàn)較大規(guī)模的網(wǎng)絡(luò)并發(fā)連接。

　　檢測型防火墻是改變傳統(tǒng)被動式防護方式，主動檢測網(wǎng)絡(luò)通信書包，在用戶訪問互聯(lián)網(wǎng)時，用戶端與服務(wù)器端相互通信，檢測型防火墻針對通信數(shù)據(jù)包的狀態(tài)變化判斷通信數(shù)據(jù)包中是否包括危險信息并進行防護。

　　2系統(tǒng)設(shè)計

　　2.1系統(tǒng)功能結(jié)構(gòu)

　　防火墻功能可實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的過濾、應(yīng)用程序的控制、網(wǎng)絡(luò)日志的記錄和根據(jù)用戶需求設(shè)置網(wǎng)絡(luò)過濾規(guī)則。

　　本文利用w insock2 SP工技術(shù)實現(xiàn)對Windows防火墻的構(gòu)建，w insock2 SP工技術(shù)能夠?qū)�Windows系統(tǒng)應(yīng)用程序和防火核心層驅(qū)動程序之間建立通信連接，在防火墻保護下的Windows用戶進行網(wǎng)絡(luò)應(yīng)用要通過防火墻實現(xiàn)，防火墻可對網(wǎng)絡(luò)應(yīng)用層上的數(shù)據(jù)包進行截獲、分析和處理，winsock2SP CPU占用率較小，同時可保證所截獲的數(shù)據(jù)包的完整性。Windows防火墻功能上劃分兩大板塊，一是主控部分，主動部分是對防火墻自身進行管理和監(jiān)控，其分析沖突檢測和系統(tǒng)監(jiān)控兩個模塊，沖突檢測可對防火墻規(guī)則庫中的規(guī)則進行沖突檢測，保證規(guī)則庫的規(guī)則為最新的，同時系統(tǒng)監(jiān)控模塊保證防火墻的可用性與完整性。另一部分是防火墻功能實現(xiàn)模塊，其中包括虛擬設(shè)備驅(qū)動模塊、數(shù)據(jù)包過濾模塊、內(nèi)容過濾模塊和流量監(jiān)控模塊。

　　2.2模塊設(shè)計

　　根據(jù)防火墻設(shè)計方案，要實現(xiàn)基于Windows網(wǎng)絡(luò)數(shù)據(jù)包的過濾，對應(yīng)用程序控制和網(wǎng)絡(luò)操作監(jiān)控，防火墻設(shè)計包括:虛擬設(shè)備驅(qū)動模塊、數(shù)據(jù)包過濾模塊、內(nèi)容過濾模塊、流量監(jiān)控模塊、沖突檢測模塊和系統(tǒng)監(jiān)控模塊。

　　虛擬設(shè)備驅(qū)動模塊:虛擬設(shè)備驅(qū)動模塊是負責對網(wǎng)絡(luò)數(shù)據(jù)包的封裝和截獲，其與Windows底層網(wǎng)絡(luò)設(shè)備協(xié)議驅(qū)動進行會話，分析網(wǎng)絡(luò)數(shù)據(jù)包的流量與危險性。

　　數(shù)據(jù)包過濾模塊:數(shù)據(jù)包過濾模塊將所采集的網(wǎng)絡(luò)數(shù)據(jù)包與數(shù)據(jù)包過濾規(guī)則進行比對，將過濾規(guī)則內(nèi)包含的數(shù)據(jù)包進行處理，并將允許通過的數(shù)據(jù)包提交給內(nèi)容過濾模塊進行進一步的分析，同時為流量監(jiān)控模塊提供網(wǎng)絡(luò)流量分析。

　　內(nèi)容過濾模塊:內(nèi)容過濾模塊將經(jīng)過數(shù)據(jù)包過濾的允許數(shù)據(jù)包進行組裝取證，再與內(nèi)容中過濾庫中的規(guī)則進行比對，將內(nèi)容過濾規(guī)則內(nèi)包含的數(shù)據(jù)進行處理，將允許通過的數(shù)據(jù)提供給流量監(jiān)控模塊進行流量分析。

　　流量監(jiān)控模塊:流量監(jiān)控模塊對網(wǎng)絡(luò)數(shù)據(jù)流量數(shù)據(jù)進行統(tǒng)計，該功能模塊可對不同層次的數(shù)據(jù)包統(tǒng)計流量，并記錄在Windows日志文件中，可通過流量監(jiān)控數(shù)據(jù)對網(wǎng)絡(luò)數(shù)據(jù)包進行特征提取、審計分析。

　　沖突檢測模塊:沖突檢測模塊是對于相應(yīng)規(guī)則發(fā)生沖突時的檢測，包括數(shù)據(jù)包過濾規(guī)則、內(nèi)容過濾規(guī)則。

　　系統(tǒng)監(jiān)控模塊:系統(tǒng)監(jiān)控模塊是對整個系統(tǒng)中的各個模塊的功能狀態(tài)進行監(jiān)控，如果某一個功能模塊被非法關(guān)閉則會發(fā)出警告，并提醒開啟該模塊。

　　3系統(tǒng)實現(xiàn)

　　3.1虛擬設(shè)備驅(qū)動模塊實現(xiàn)

　　虛擬設(shè)備驅(qū)動模塊是連接計算機網(wǎng)絡(luò)底層與上層的服務(wù)模塊，通過NDIS-HOOK技術(shù)對網(wǎng)絡(luò)中的數(shù)據(jù)包進行截獲和過濾。采用SPIHOOK與防火墻控制規(guī)則共同構(gòu)建過濾模塊，首先，獲取NDISSYS在內(nèi)存中的基地址;將具有特定功能的封包、發(fā)包函數(shù)替換系統(tǒng)標準NDIS庫中的函數(shù);其次，獲取當前系統(tǒng)進程信息;然后，初始化調(diào)用Windows協(xié)議驅(qū)動程序;第4，處理協(xié)議緩沖區(qū)數(shù)據(jù)包并解析協(xié)議并與控制規(guī)則進行比較，實現(xiàn)與上層模塊的通信。

　　3.2數(shù)據(jù)包過濾模塊實現(xiàn)

　　數(shù)據(jù)包的過濾是防火墻最基本的過濾方式，其對數(shù)據(jù)包的IP,TCP等的包頭信息進行提取，分析包頭字段，再對比用戶所定義的數(shù)據(jù)包過濾規(guī)則，如果符合規(guī)則，則允許訪問網(wǎng)絡(luò)，如果不符合規(guī)則，則拒絕訪問。

　　3.3內(nèi)容過濾模塊實現(xiàn)

　　內(nèi)容過濾模塊的實現(xiàn)是對網(wǎng)絡(luò)應(yīng)用層的內(nèi)容進行檢測，首先，初始化內(nèi)容過濾表和過濾方式，初始化協(xié)議棧緩沖區(qū);其次，加載系統(tǒng)W S2 35D LL程序，取得SP工服務(wù)地址，獲取Winsock緩沖區(qū)數(shù)據(jù);然后，對數(shù)據(jù)包進行解析，通過HTTP過濾規(guī)則、FTP過濾規(guī)則、SM TP過濾規(guī)則對數(shù)據(jù)包內(nèi)容進行過濾。

　　3.4流量監(jiān)控模塊實現(xiàn)

　　流量監(jiān)控模塊是實現(xiàn)不同時間段的網(wǎng)絡(luò)訪問統(tǒng)計，首先，初始化流量統(tǒng)計規(guī)則列表，獲取當前活動進程D、端口號或者是內(nèi)存中的地址;其次，為每個活動進程設(shè)置計數(shù)器，監(jiān)測每個數(shù)據(jù)包的狀態(tài)、流向、記錄進程的連接狀態(tài);然后，創(chuàng)建子線程，用于數(shù)據(jù)包的統(tǒng)計，如果流量超過預(yù)設(shè)流量則隔斷進程，并記錄流量日志，如果沒有超過預(yù)設(shè)流量則進入防火墻虛擬設(shè)備驅(qū)動模塊，通過ND IS HOOK解析數(shù)據(jù)包，解析判斷如果數(shù)據(jù)包內(nèi)容違反規(guī)則，則記錄數(shù)據(jù)包的源1P ,大小、時間等到日志記錄中，如果沒有違反規(guī)則，則SPIHOOK記錄所有數(shù)據(jù)包的源P、源端口、目標端口、協(xié)議類型、大小、進程級別、時間、接收狀態(tài)等，同時在日志中記錄所有結(jié)果。

　　3.5沖突檢測模塊實現(xiàn)

　　在防火墻規(guī)則庫中有大量的控制訪問限制，如果要對規(guī)則庫添加新的訪問控制，會出現(xiàn)新規(guī)則與老規(guī)則沖突的問題。因此，沖突檢測模塊可對新規(guī)則與老規(guī)則進行比對分析，發(fā)現(xiàn)新規(guī)則與老規(guī)則沖突后，針對規(guī)則的完善性以規(guī)則最優(yōu)原則合并規(guī)則，并刪除失效規(guī)則。

　　3.6系統(tǒng)監(jiān)控模塊實現(xiàn)

　　系統(tǒng)監(jiān)控模塊是保障Windows防火墻整體運行安全及完整的監(jiān)控模塊，當防火墻系統(tǒng)出現(xiàn)部分功能被非法關(guān)閉問題時，系統(tǒng)監(jiān)控模塊會發(fā)出提示，并提示重啟防火墻或者是修復(fù)防火墻。系統(tǒng)監(jiān)控模塊實現(xiàn)是對防火墻各項功能的完整性進行檢測，根據(jù)用戶設(shè)置予以監(jiān)控保護。

　　4結(jié)束語

　　防火墻是保護網(wǎng)絡(luò)通信的基礎(chǔ)，本文利用winsock2 SP工技術(shù)實現(xiàn)對Windows防火墻的構(gòu)建，主要實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的截獲、分析與處理，該防火墻具有防御規(guī)則添加、刪除等功能，具有良好的擴充性。防火墻實現(xiàn)對Windows系統(tǒng)的保護是根據(jù)防御規(guī)則完成基于網(wǎng)絡(luò)訪問護地址和端口的數(shù)據(jù)包進行過濾，與訪問控制。

【淺談Windows的防火墻設(shè)計與實現(xiàn)論文】相關(guān)文章：

Windows CE下串行通信的實現(xiàn)05-01

淺談學案設(shè)計論文04-27

淺談設(shè)計速寫論文04-30

防火墻技術(shù)及其實現(xiàn)方法04-29

防火墻技術(shù)的論文08-22

實現(xiàn)在Windows下直接讀寫內(nèi)存的方法05-01

基于FPGA的TSoverlP的設(shè)計和實現(xiàn)論文04-29

禮服租賃管理系統(tǒng)設(shè)計與實現(xiàn)論文05-03

學生學籍管理系統(tǒng)設(shè)計與實現(xiàn)論文05-03

倉庫庫存管理系統(tǒng)的設(shè)計與實現(xiàn)論文05-06