淺談Windows的防火墻設(shè)計(jì)與實(shí)現(xiàn)論文

　　0引言

　　防火墻是建立在網(wǎng)絡(luò)外部環(huán)境與計(jì)算機(jī)系統(tǒng)之間的防護(hù)措施，其可以對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制，將非用戶允許的網(wǎng)絡(luò)入侵行為給予阻止和屏蔽。本文首先對(duì)Windows防火墻的功能、種類進(jìn)行介紹，分析目前較為流行的Windows防火墻方案，并選擇其中一種較為理想的方案進(jìn)行設(shè)計(jì)，最后完成對(duì)系統(tǒng)的主控模塊和數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)。

　　1Windows防火墻概述

　　1.1基本功能介紹

　　Windows防火墻的基本功能概括為其是在計(jì)算機(jī)網(wǎng)絡(luò)中對(duì)數(shù)據(jù)流的可信度在Windows操作系統(tǒng)中進(jìn)行傳輸控制。首先，建立起計(jì)算機(jī)網(wǎng)絡(luò)安全策略;其次，對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行掃描，將違反網(wǎng)絡(luò)安全策略的行為給予過(guò)濾;然后，防火墻具有通信端口管理功能，對(duì)暴露在網(wǎng)絡(luò)中的計(jì)算機(jī)危險(xiǎn)端口在其不使用的過(guò)程中給予關(guān)閉，防止不法分子對(duì)網(wǎng)絡(luò)用戶進(jìn)行攻擊。

　　1.2防火墻種類

　　防火墻可根據(jù)技術(shù)發(fā)展歷程進(jìn)行劃分，劃分為包過(guò)濾型、代理型和檢測(cè)型防火墻。

　　包過(guò)濾型防火墻是基于網(wǎng)絡(luò)層與傳輸層中的識(shí)別和控制數(shù)據(jù)包發(fā)送方及接收方的護(hù)地址，并對(duì)IP地址進(jìn)行分析，對(duì)來(lái)自未知護(hù)地址的數(shù)據(jù)包進(jìn)行過(guò)濾。包過(guò)濾型防火墻配置簡(jiǎn)單，處理速度快，但是其無(wú)法分析應(yīng)用層協(xié)議，無(wú)法規(guī)避系統(tǒng)漏洞風(fēng)險(xiǎn)，防火墻功能有限。

　　代理型防火墻是建立在互聯(lián)網(wǎng)與局域網(wǎng)之間的防護(hù)措施，互聯(lián)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入局域網(wǎng)絡(luò)前要經(jīng)過(guò)防火墻的轉(zhuǎn)發(fā)，防火墻在應(yīng)用層進(jìn)行訪問(wèn)控制，對(duì)危險(xiǎn)數(shù)據(jù)包不予以轉(zhuǎn)發(fā)。代理防火墻可以對(duì)網(wǎng)絡(luò)應(yīng)用層、傳輸層、網(wǎng)絡(luò)層的特征進(jìn)行檢測(cè)，但其處理速度較慢，無(wú)法實(shí)現(xiàn)較大規(guī)模的網(wǎng)絡(luò)并發(fā)連接。

　　檢測(cè)型防火墻是改變傳統(tǒng)被動(dòng)式防護(hù)方式，主動(dòng)檢測(cè)網(wǎng)絡(luò)通信書(shū)包，在用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)，用戶端與服務(wù)器端相互通信，檢測(cè)型防火墻針對(duì)通信數(shù)據(jù)包的狀態(tài)變化判斷通信數(shù)據(jù)包中是否包括危險(xiǎn)信息并進(jìn)行防護(hù)。

　　2系統(tǒng)設(shè)計(jì)

　　2.1系統(tǒng)功能結(jié)構(gòu)

　　防火墻功能可實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾、應(yīng)用程序的控制、網(wǎng)絡(luò)日志的記錄和根據(jù)用戶需求設(shè)置網(wǎng)絡(luò)過(guò)濾規(guī)則。

　　本文利用w insock2 SP工技術(shù)實(shí)現(xiàn)對(duì)Windows防火墻的構(gòu)建，w insock2 SP工技術(shù)能夠?qū)�Windows系統(tǒng)應(yīng)用程序和防火核心層驅(qū)動(dòng)程序之間建立通信連接，在防火墻保護(hù)下的Windows用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用要通過(guò)防火墻實(shí)現(xiàn)，防火墻可對(duì)網(wǎng)絡(luò)應(yīng)用層上的數(shù)據(jù)包進(jìn)行截獲、分析和處理，winsock2SP CPU占用率較小，同時(shí)可保證所截獲的數(shù)據(jù)包的完整性。Windows防火墻功能上劃分兩大板塊，一是主控部分，主動(dòng)部分是對(duì)防火墻自身進(jìn)行管理和監(jiān)控，其分析沖突檢測(cè)和系統(tǒng)監(jiān)控兩個(gè)模塊，沖突檢測(cè)可對(duì)防火墻規(guī)則庫(kù)中的規(guī)則進(jìn)行沖突檢測(cè)，保證規(guī)則庫(kù)的規(guī)則為最新的，同時(shí)系統(tǒng)監(jiān)控模塊保證防火墻的可用性與完整性。另一部分是防火墻功能實(shí)現(xiàn)模塊，其中包括虛擬設(shè)備驅(qū)動(dòng)模塊、數(shù)據(jù)包過(guò)濾模塊、內(nèi)容過(guò)濾模塊和流量監(jiān)控模塊。

　　2.2模塊設(shè)計(jì)

　　根據(jù)防火墻設(shè)計(jì)方案，要實(shí)現(xiàn)基于Windows網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾，對(duì)應(yīng)用程序控制和網(wǎng)絡(luò)操作監(jiān)控，防火墻設(shè)計(jì)包括:虛擬設(shè)備驅(qū)動(dòng)模塊、數(shù)據(jù)包過(guò)濾模塊、內(nèi)容過(guò)濾模塊、流量監(jiān)控模塊、沖突檢測(cè)模塊和系統(tǒng)監(jiān)控模塊。

　　虛擬設(shè)備驅(qū)動(dòng)模塊:虛擬設(shè)備驅(qū)動(dòng)模塊是負(fù)責(zé)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的'封裝和截獲，其與Windows底層網(wǎng)絡(luò)設(shè)備協(xié)議驅(qū)動(dòng)進(jìn)行會(huì)話，分析網(wǎng)絡(luò)數(shù)據(jù)包的流量與危險(xiǎn)性。

　　數(shù)據(jù)包過(guò)濾模塊:數(shù)據(jù)包過(guò)濾模塊將所采集的網(wǎng)絡(luò)數(shù)據(jù)包與數(shù)據(jù)包過(guò)濾規(guī)則進(jìn)行比對(duì)，將過(guò)濾規(guī)則內(nèi)包含的數(shù)據(jù)包進(jìn)行處理，并將允許通過(guò)的數(shù)據(jù)包提交給內(nèi)容過(guò)濾模塊進(jìn)行進(jìn)一步的分析，同時(shí)為流量監(jiān)控模塊提供網(wǎng)絡(luò)流量分析。

　　內(nèi)容過(guò)濾模塊:內(nèi)容過(guò)濾模塊將經(jīng)過(guò)數(shù)據(jù)包過(guò)濾的允許數(shù)據(jù)包進(jìn)行組裝取證，再與內(nèi)容中過(guò)濾庫(kù)中的規(guī)則進(jìn)行比對(duì)，將內(nèi)容過(guò)濾規(guī)則內(nèi)包含的數(shù)據(jù)進(jìn)行處理，將允許通過(guò)的數(shù)據(jù)提供給流量監(jiān)控模塊進(jìn)行流量分析。

　　流量監(jiān)控模塊:流量監(jiān)控模塊對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，該功能模塊可對(duì)不同層次的數(shù)據(jù)包統(tǒng)計(jì)流量，并記錄在Windows日志文件中，可通過(guò)流量監(jiān)控?cái)?shù)據(jù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行特征提取、審計(jì)分析。

　　沖突檢測(cè)模塊:沖突檢測(cè)模塊是對(duì)于相應(yīng)規(guī)則發(fā)生沖突時(shí)的檢測(cè)，包括數(shù)據(jù)包過(guò)濾規(guī)則、內(nèi)容過(guò)濾規(guī)則。

　　系統(tǒng)監(jiān)控模塊:系統(tǒng)監(jiān)控模塊是對(duì)整個(gè)系統(tǒng)中的各個(gè)模塊的功能狀態(tài)進(jìn)行監(jiān)控，如果某一個(gè)功能模塊被非法關(guān)閉則會(huì)發(fā)出警告，并提醒開(kāi)啟該模塊。

　　3系統(tǒng)實(shí)現(xiàn)

　　3.1虛擬設(shè)備驅(qū)動(dòng)模塊實(shí)現(xiàn)

　　虛擬設(shè)備驅(qū)動(dòng)模塊是連接計(jì)算機(jī)網(wǎng)絡(luò)底層與上層的服務(wù)模塊，通過(guò)NDIS-HOOK技術(shù)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行截獲和過(guò)濾。采用SPIHOOK與防火墻控制規(guī)則共同構(gòu)建過(guò)濾模塊，首先，獲取NDISSYS在內(nèi)存中的基地址;將具有特定功能的封包、發(fā)包函數(shù)替換系統(tǒng)標(biāo)準(zhǔn)NDIS庫(kù)中的函數(shù);其次，獲取當(dāng)前系統(tǒng)進(jìn)程信息;然后，初始化調(diào)用Windows協(xié)議驅(qū)動(dòng)程序;第4，處理協(xié)議緩沖區(qū)數(shù)據(jù)包并解析協(xié)議并與控制規(guī)則進(jìn)行比較，實(shí)現(xiàn)與上層模塊的通信。

　　3.2數(shù)據(jù)包過(guò)濾模塊實(shí)現(xiàn)

　　數(shù)據(jù)包的過(guò)濾是防火墻最基本的過(guò)濾方式，其對(duì)數(shù)據(jù)包的IP,TCP等的包頭信息進(jìn)行提取，分析包頭字段，再對(duì)比用戶所定義的數(shù)據(jù)包過(guò)濾規(guī)則，如果符合規(guī)則，則允許訪問(wèn)網(wǎng)絡(luò)，如果不符合規(guī)則，則拒絕訪問(wèn)。

　　3.3內(nèi)容過(guò)濾模塊實(shí)現(xiàn)

　　內(nèi)容過(guò)濾模塊的實(shí)現(xiàn)是對(duì)網(wǎng)絡(luò)應(yīng)用層的內(nèi)容進(jìn)行檢測(cè)，首先，初始化內(nèi)容過(guò)濾表和過(guò)濾方式，初始化協(xié)議棧緩沖區(qū);其次，加載系統(tǒng)W S2 35D LL程序，取得SP工服務(wù)地址，獲取Winsock緩沖區(qū)數(shù)據(jù);然后，對(duì)數(shù)據(jù)包進(jìn)行解析，通過(guò)HTTP過(guò)濾規(guī)則、FTP過(guò)濾規(guī)則、SM TP過(guò)濾規(guī)則對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行過(guò)濾。

　　3.4流量監(jiān)控模塊實(shí)現(xiàn)

　　流量監(jiān)控模塊是實(shí)現(xiàn)不同時(shí)間段的網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)，首先，初始化流量統(tǒng)計(jì)規(guī)則列表，獲取當(dāng)前活動(dòng)進(jìn)程D、端口號(hào)或者是內(nèi)存中的地址;其次，為每個(gè)活動(dòng)進(jìn)程設(shè)置計(jì)數(shù)器，監(jiān)測(cè)每個(gè)數(shù)據(jù)包的狀態(tài)、流向、記錄進(jìn)程的連接狀態(tài);然后，創(chuàng)建子線程，用于數(shù)據(jù)包的統(tǒng)計(jì)，如果流量超過(guò)預(yù)設(shè)流量則隔斷進(jìn)程，并記錄流量日志，如果沒(méi)有超過(guò)預(yù)設(shè)流量則進(jìn)入防火墻虛擬設(shè)備驅(qū)動(dòng)模塊，通過(guò)ND IS HOOK解析數(shù)據(jù)包，解析判斷如果數(shù)據(jù)包內(nèi)容違反規(guī)則，則記錄數(shù)據(jù)包的源1P ,大小、時(shí)間等到日志記錄中，如果沒(méi)有違反規(guī)則，則SPIHOOK記錄所有數(shù)據(jù)包的源P、源端口、目標(biāo)端口、協(xié)議類型、大小、進(jìn)程級(jí)別、時(shí)間、接收狀態(tài)等，同時(shí)在日志中記錄所有結(jié)果。

　　3.5沖突檢測(cè)模塊實(shí)現(xiàn)

　　在防火墻規(guī)則庫(kù)中有大量的控制訪問(wèn)限制，如果要對(duì)規(guī)則庫(kù)添加新的訪問(wèn)控制，會(huì)出現(xiàn)新規(guī)則與老規(guī)則沖突的問(wèn)題。因此，沖突檢測(cè)模塊可對(duì)新規(guī)則與老規(guī)則進(jìn)行比對(duì)分析，發(fā)現(xiàn)新規(guī)則與老規(guī)則沖突后，針對(duì)規(guī)則的完善性以規(guī)則最優(yōu)原則合并規(guī)則，并刪除失效規(guī)則。

　　3.6系統(tǒng)監(jiān)控模塊實(shí)現(xiàn)

　　系統(tǒng)監(jiān)控模塊是保障Windows防火墻整體運(yùn)行安全及完整的監(jiān)控模塊，當(dāng)防火墻系統(tǒng)出現(xiàn)部分功能被非法關(guān)閉問(wèn)題時(shí)，系統(tǒng)監(jiān)控模塊會(huì)發(fā)出提示，并提示重啟防火墻或者是修復(fù)防火墻。系統(tǒng)監(jiān)控模塊實(shí)現(xiàn)是對(duì)防火墻各項(xiàng)功能的完整性進(jìn)行檢測(cè)，根據(jù)用戶設(shè)置予以監(jiān)控保護(hù)。

　　4結(jié)束語(yǔ)

　　防火墻是保護(hù)網(wǎng)絡(luò)通信的基礎(chǔ)，本文利用winsock2 SP工技術(shù)實(shí)現(xiàn)對(duì)Windows防火墻的構(gòu)建，主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截獲、分析與處理，該防火墻具有防御規(guī)則添加、刪除等功能，具有良好的擴(kuò)充性。防火墻實(shí)現(xiàn)對(duì)Windows系統(tǒng)的保護(hù)是根據(jù)防御規(guī)則完成基于網(wǎng)絡(luò)訪問(wèn)護(hù)地址和端口的數(shù)據(jù)包進(jìn)行過(guò)濾，與訪問(wèn)控制。

【淺談Windows的防火墻設(shè)計(jì)與實(shí)現(xiàn)論文】相關(guān)文章：

淺談防火墻在局域網(wǎng)中的部署與實(shí)現(xiàn)論文10-21

淺談某型機(jī)載作戰(zhàn)任務(wù)加載器的設(shè)計(jì)與實(shí)現(xiàn)論文10-26

Windows軟件防火墻實(shí)現(xiàn)技術(shù)簡(jiǎn)述服務(wù)器教程 -電腦資料01-01

淺談設(shè)計(jì)速寫(xiě)論文04-24

淺談學(xué)案設(shè)計(jì)論文05-16

淺談西郵之家網(wǎng)站的設(shè)計(jì)與幾個(gè)關(guān)鍵技術(shù)實(shí)現(xiàn)論文10-27

淺談跨存儲(chǔ)數(shù)據(jù)遷移技術(shù)與實(shí)現(xiàn)論文10-27

淺談少數(shù)人權(quán)利的實(shí)現(xiàn)論文10-20

找回丟失的windows xp防火墻Windows安全 -電腦資料01-01