（计算机系统结构专业论文）基于windows+2000个人防火墙的设计与实现.pdf

l l 摘要 摘要 本文主要叙述了基于w i n d o w s 2 0 0 0 平台下的个人防火墙系统的设计及具体实 现。通过参考目前市场上多种个人防火墙的设计方案，并且分析比较各个设计方 案的优缺点，结合目前个人防火墙技术的发展趋势，提出一种基于内核态和用户 态双重过滤的设计方案：在内核态采用n d i sh o o k 技术开发n d i s 网络驱动程 序实现对通过网络的原始数据封包截获，并且通过访问控管规则完成对数据封包 的过滤；在应用态采用w i n s o c k 2s p i 技术开发动态链接库( d l l ) 程序实现了对基 于s o c k e t 网络连接通信的服务截获和过滤，从而克服了单方面从用户态或核心态 截获数据包的缺点，极大提高了系统的安全性能。 系统在开发实现过程中采用模块化、结构化的软件设计思想，提高了系统的 可移植性及灵活性。从总体上可以划分为以下三个模块：核心层的n d i s 网络驱 动程序、应用层的动态链接库程序以及用户应用程序，这三个模块之间通过内存 共享技术完成对控管规则、封装数据、网上邻居名字列表等数据的读写操作，从 而很方便的根据控管规则实现了对网络封包的认证操作，提高了系统的过滤效率。 鉴于目前防火墙技术的发展趋势，本系统具有广泛的实用价值和商业价值，因此 具有一定的推广前景。软件的开发基于w i n d o w s2 0 0 0 操作系统，开发语言采用 、，i s u a lc + + 6 0 和w i n 2 0 0 0d d k 。 关键宇：n d i s 控管规则防火墙截获过滤 a b s 仃a c t a b s t r a c t i l l t h i sp a p e rm a i n l yd i s c u s s e st h ed e s i g na n dt h ei m p l e m e n t a t i o no ft h ep e r s o n a l f i r e w a l lb a s e do nw i n d o w s2 0 0 0o p e r a t i o ns y s t e m a c c o r d i n gt om y r e f e r e n c e ，t h e r e a r e m a n ys c h e m e s f o rt h e p e r s o n a l f i r e w a l l t e c h n o l o g y a n de a c hh a si t so w n a d v a n t a g e sa n dd i s a d v a n t a g e s an e wd o u b l ef i l t e r i n gp a c k e tb a s e do nk e r n e la n d u s e r m o d es c h e m ei sp r e s e n t e di nt h i sp a p e rw i t ht h ed e v e l o p m e n to ft h ep e r s o n a lf i r e w a l l t e c h n o l o g y ：i nt h ek e r n e lm o d e ，w ed e v e l o pt h en e t w o r kd r i v e rp r o g r a mt oi m p l e m e n t t h er a wn e t p a c k e tc a p t u r i n gt h r o u g ht h en - d i sh o o kt e c h n o l o g y , a n d a l s ow e a c c o m p l i s ht h en e tp a c k e tf i l t e r i n ga c c o r d i n gt ot h ec o n t r o lc a n a l r u l e s i nt h eu s e r m o d e ，w ed e v e l o pt h ed l lp r o g r a mt oi m p l e m e n tt h es e r v i c e sb a s e do ns o c k e tc a p t u r i n g a n d f i l t e r i n gt h r o u g h t h ew i n s o c k 2s p i t e c h n o l o g y , t h e r e b y w eo v e r c o m et h e s h o r t c o m i n gd u r i n gc a p u t u r i n gp a c k e tb yk e r n e lm o d eo ru s e rm o d eo n l y , g r e a t l y i m p r o v e t h es y s t e ms e c u r i t yn a t u r e d u r i n gt h ed e v e l o p m e n t ，w ea d o p tt h es o rd e s i g ni d e ao ft h es t r u c t u r ea n d m o d u l a r i z e ，t h e r e f o r ei m p r o v et h et r a n s p l a n t a t i o na n da g i l i t yo f t h es y s t e ma saw h o l e t h es y s t e mm a yc o m p a r tt h r e em o d u l e s ：n d i sd r i v e r si nt h ek e r n e lm o d e 、t h ed l l p r o g r a mi n t h eu s e rm o d ea n dt h eu s e r a p p l i c a t i o np r o g r a m , a d o p t i n gt h e s h a r e m e m o r yt e c h n o l o g yt h r e em o d u l e sr e a l i z et h ed a t as h a r eo f t h ec o n t r o lc a n a lr u l e 、t h e e n c a p s u l a t i o n d a t aa n dt h en e t w o r kn e i b o r h o o dn a n l ea n ds oo n ，s ow ec a ne a s i l yf i n i s h t h ep a c k e ta u t h e n t i c a t i o nb yt h ec o n t r o lc a n a lr u l e ，i m p r o v et h ef i l t e r i n ge f f i c i e n c yo f t h es y s t e m w h e r e a st h ec u r r e n to ff i r e w a l lt e c h n o l o g y , t h es y s t e mh a sw i d e u t i l yv a l u e a n db u s i n e s sv a l u e t h i ss o f t w a r ei sb a s e do nw i n d o w s2 0 0 0o p e r a t i n gs y s t e m ，t h e p r o g r a m m i n gl a n g u a g ei sc h o s e na sv i s u a lc + + 6 0a n dw i n 2 0 0 0 d d k k e y w o r d s ：n d i sc o n t r o lc a n a lr u l ef i r e w a l l c a p t u r e f i l t e r 南明 y 5 8 3 3 5 7 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：王盘过至曰期2 11 生! g 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即；研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 摘解密后遵守此规定) 本人签名：一王壑j 笙 导师签名； 蜱 日期2 婴堡8 日期簿坚：6 z 第一节绪论 第一章绪论 随着计算机网络技术的迅猛发展和i n t e m e t i n t r a n e t 在全世界范围内的日益普 及及许多新的网络服务的出现，计算机网络安全问题变得越来越严重，而个人防 火墙则是保证网络上个人计算机的系统安全。目前绝大多数的个人用户均是使用 m i c r o s o rw i n d o w s 操作系统，个人防火墙通常直接切入个人用户的操作系统，并接 管用户操作系统对网络的控制，使得运行在系统上的网络应用软件在访问网络的时 候，都必须经过 i j 火墙的确认，从而达到控制用户计算机和i n t e r n e t 之间连接的目的。 本章首先简要介绍了防火墙发展历史及现状，然后叙述防火墙在信息安全中的重 要地位以及实现个人防火墙的必要性，接着论述了开发个人防火墙课题的目地和 意义，最后指出全文的内容和组织结构。 1 1 防火墙技术的发展历史 i n t e r n e t 已成为成为人们探索和交换信息及电子商贸的全球性设施，成为各国 进行信息交换的战略设施。随着越来越多的单位和个人加入i n t e m e t ，保护网络及及 其信息安全已越来越多成为人们关心的问题。为了保护内部重要信息资源，免受 外来非法的访问与破坏，同时阻止内部人员对外部非法站点的访问，采用防火墙 技术是行之有效的办法，它提供了一种保护网络的安全屏障。防火墙在网络安全 防护方面扮演着最重要的角色，其系统决定了哪些内部服务可以被外界访问；外 界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。从而基 本上把外部的威胁减少到一个安全得多的程度。防火墙必须只允许授权的数据通 过，而且防火墙本身也必须能够免于渗透。自从1 9 8 6 年美国d i g i t a l 公司在i n t e r n e t 上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到 了飞速的发展。目前有几十家公司推出了功能不同的防火墙系统产品。防火墙本 身也经历了以下几个发展阶段。 第一代舫火墙技术几乎与路由器同时出现，利用了包过滤( p a c k e tf i l t e r ) 技术。 主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通 过，对其进行转发，但这种防火墙很难抵御p 地址欺骗等攻击，而且审计功能很 差，管理工作量很大而且不可靠，这是现代防火墙的前身，其简单发展历史如图 1 1 所示。 图1 l 防火墙技术发展历史 基于w i n d o w s2 0 0 0 个人防火墙的设计与实现 第二代防火墙于1 9 明年由贝尔实验室的。d 鲫e p r o s o t t o 和h o w a r d t r i c k e y 推出 的，即电路层防火墙，功能完全从路由器上剥离出来，并提供专门的管理工具， 令防火墙成为与路由器功能相独立的实用产品，极大提高了防火墙功能的可用性。 同时它们又提出了第三代防火墙应用层防火墙( 代理防火墙) 的初步结 构。代理防火墙与普通舫火墙工作在同一个物理位置，也就是网关上，但是功能 和性质完全不同。防火墙是基于心包的转发过滤工作的，工作在o s i 的第二至第 四层；而代理( 防火墙) 则是工作建立软件功能服务的，工作在o s i 的第七层( 最 高层) 。因此，代理( 防火墙) 并不是严格意义上的防火墙，它可以完成一些普 通防火墙不具备的功能，象完成相当少量用户通过认证，实现代理上网这样的基 于软件类型的网关功能，但不能象防火墙一样融入网络的基本环境，并承载网络 流量的强大负载。 第四代防火墙于1 9 9 2 年由u s c 信息科学院的b o b b r a d e n 开发出了基于动态 包过滤( d y n a m i cp a c k e tf i l t e r ) 技术，后来演变为目前所说的状态监视( s t a t e f u l i n s p e c t i o n ) 技术。1 9 9 4 年，以色列的c h e c k p o i n t 公司开发出了第一个基于这种技 术的商业化的产品。采用这种技术的防火墙对通过其建立的每一个连接都进行跟 踪，并且根据需要可动态地在过滤规则中增加或更新条目。 第五代防火墙于1 9 9 8 年由n a i 公司推出了一种自适应代理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e t f i r e w a l lf o r n t 中得以实现，给代理类型的防火墙赋予 了全新的意义。自适应代理技术是一种最新的防火墙技术，在一定程度上反映了 防火墙目前的发展动态。该技术可以根据用户定义的安全策略，动态适应传送中 的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火 墙的最大安全性。 1 2 网络信息安全与防火墙技术 随着世界信息化、网络化的快速推进，网络安全技术已经成为一个国家走向 信息化的重要前提条件。随之而来的网络安全问题成为人们关注的焦点。防火墙 是一种安全有效的防范措施技术，是访问控制机制、安全策略和防入侵侵犯措施例。 防火墙技术以其良好的性能和扩展机制正广泛运用于网络信息安全建设中。本节 从网络信息安全需求着手讨论防火墙在网络安全中的重要作用，然后分析了防火 墙现阶段的发展状况。 1 2 1 网络安全与防火墙技术 随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用也越来 越广泛，其作用也越来越重要。由于计算机系统中的软硬件和计算机网络的的脆 第一节绪论 弱性阻及地理分布的位置、自然环境、自然破坏和人为因素的影响，不仅增加了 信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越 来越严重，因网络破坏所造成的损失越来越大。据统计，在全球范围内，由于信 息系统的脆弱性而导致的经济损失，每年达数十亿美元，并且里逐年上升趋势。 依据美国c s i 及f b i 联合发布的( 2 0 0 2 度计算机犯罪及安全调查报告中提供的 数据，仅在2 0 0 1 年5 0 3 家被调查的美国公司因信息安全导致的损失超过3 8 亿美 元。如何不断研究和提高信息安全技术已直接关系到社会信息化的发展。目前， 普遍采用的技术主要包括加密、v p n 、数字身份识别、访问控制、入侵检测、网 络防火墙、反病毒等技术。依据上述报告显示，2 0 0 1 年9 6 的美国公司采用了网 络防火墙技术，紧比位居第一位的反病毒技术低2 个百分点。可见，网络防火墙 技术在信息安全领域扮演着十分熏要的角色。从目前情况来看，对计算机网络的 入侵、威胁和攻击，基本可以归纳为以下几种：外部人员攻击( 7 5 ) ：黑客入 侵( 1 7 ) ；信息的泄漏、窃取和破坏；搭线窃听；线路干扰；拒绝服务或 注入非法信息修改或删除关键信息；身份截取或中继攻击；工作疏忽； 人为的破坏网络设备，造成网络瘫痪。 其原因主要有以下几个方面：局域网存在的缺陷和i n t e r n e t 的脆弱性；薄 弱的网络认证环节和系统易被监视性；网络软件的缺昭和i n t e n l e t 服务的漏洞； 没有正确的安全策略和安全机制；缺乏先进的网络安全技术、工具、手段和 产品；主机的复杂设置和复杂控制；缺乏相应的安全准则、安全政策、安全 法规，使得无章可循，无法可依。最重要的一条，没有正视黑客、病毒和计算 机犯罪所造成的严重后果。舍不得投入必要的人力、物力和财力来加强网络的安 全性。只要我们充分认识安全问题的严重性，严格按照安全规则处理，就可以把 网络安全风险限制在有限范围内。为了增强网络的安全性，人们在i n t e m e t 与局域 网之间设置了防火墙。它在保护网络信息安全方面发挥了重要作用，主要体现在： 它有效的收集和记录i n t e m e t 上的活动和网络情况；它能够隔开网络中的一个 网段与另一个网段，防止一个网段的问题传播到整个网络；防火墙是一个安全 检查站，能有效地过滤、筛选和屏蔽一切有害的服务和信息；防火墙可作为防 止不良现象的交通警察，能执行和强化网络的安全策略。防火墙通过在网络边界 上建立起来的相应网络安全检测系统来隔离内部与外部网络以确定哪些内部服务 允许外部访问，以及哪些外部服务访问内部服务，以阻挡外部网络的入侵。 1 2 2 国内外防火墙发展现状 国外对防火墙研究和应用已经开始多年，美国、英国、加拿大、澳大利亚、 日本等国都十分重视防火墙的开发和应用系统的建设。以美国为例，政府成立了 4 一 基于w m d o w s2 0 0 0 个人防火墙的设计与实现 联邦指导委员会，对英提供政策、法规、标准等方蔼的指导。在这些政策的影响 下，防火墙技术的研究取得了长足的进步。国外网络安全厂商则凭借其领先的技术 和知名度在各个应用领域里长驱直入。随着国内网络安全防护意识的兴起，我国政 策规定，政府、军工、重点投资项目等必须采用中国企业的网络安全产品，给了 国内企业网络安全产品特有的市场空间。w i n d o w s 操作系统作为使用最为广泛的 p e 操作系统，在其平台下开发的个人防火墙产品枚不胜数。开发的防狄墙软件中， 国外防火墙占了比较大的优势，目前比较著名的有a t g u a r d ，o u t p o s tf i r e w a l l ， z o n e a l a r m 。t i n yp e r s o n a lf i r e w a l l ，n o r t o np e r s o n a lf i r e q r a l l 以及s y g a t ep e r s o n a l f i r g 一0 v a l l 等，国内一些防病毒软件开发商和知名的i t 厂商也逐渐涉足防火蜷领域， 目前用到比较多有瑞星、天网防火墙等产品。 1 3 实现个人防火墙的必要性 无论是对企业还是个人，信息安全都日益成为被广泛关注的问题，国际计算 机安全协会( i c s a , i n t e r n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ) 所公布的2 0 0 0 年度病毒传播趋势报告显示，电子邮件已跃升为计算机病毒最主要的传播媒介， 感染率由1 9 9 8 年的3 2 、1 9 9 9 年的5 6 ，大幅度增长至2 0 0 0 年的8 7 。这种快 速、大规模的传播方式使企业和个人防不胜防。然而这仅仅是问题的一方面，从 2 0 0 0 年年初y a h o ol 、e b a v 等著名网站被d d o s 攻击开始，到年底微软网站被“黑”， 网络安全问题引起了人们的注意，大大小小的企业纷纷为自己的内部网络“筑墙”， 虽然目前市场上的防火墙产品可谓是层出不穷，但大部分是网关型的，这些产品 主要解决企业内部与i n t e r n e t 互连方面的安全问题。虽然它们的功能相当相当强大， 但由于它们是基于下述假设：内部网是安全可靠的，所有的威胁都来自网外。因 此，它们只“防外不防内”，难以实现对企业内部局域网内主机之间的安全通信， 也不能很好的解决每个上网用户所在主机的安全问题。 在前几年前，对于个人用户的计算机系统，只要安装具有实时监控功能的防病 毒软件似乎就能高枕无忧。但现在情况已经发生了很大的变化：a d s l 、c a b l e m o d e m 等高速、宽带接入方式的大量采用，将越来越多的家庭与i n t e r n e t 连在一 起。个人计算机系统除了受病毒的威胁外，还面临无处不在的黑客攻击。目前， 对主机的攻击越来越多。一般都是利用操作系统设计的安全漏洞或者通信协议的 安全漏洞来实现攻击。如假冒i p 包对通信双方进行欺骗；对主机大量发送i p 数据 包来对主机进行轰炸攻击，以达到使主机崩溃的目的；还有经常出现的蓝屏攻击 等。因此。为了保护主机的安全通信，在主机上安装个人防火墙系统很有必要。 同时，尽管大多数公司的防火墙相当安全，但被侵入事件还是时有发生。当 这类事情发生后，个人防火墙能提供冗余措施，以保护用户免受已经突破公司防 第一节绪论 火墙的黑客破坏。此外，大多数组织未能保护他们的系统免受来自内部的威胁， 而这种威胁几乎与来自外部的威胁相当：经常外出工作的员工在出差时连接到各 种各样的网络，他们的便携式电脑也许可以防止病毒的破坏，但电脑中的数据却 对外敞开大门；未安装防火墙的、距公司总部遥远的小分公司；在家办公的员工 等等都需要个人防火墙来保证信息安全。需要特别指出的是，个人防火墙也是目 前许多小企业用户理想的选择之一。它提供了一个低成本而又不损害安全性能的 替代方案：它可以直接安装到公司的每台个人计算机上，控制着网络的硬件并执 行与公司防火墙一样的基本功能( 如入侵检测、访问控制、策略执行、事件记录 等) 。正是由于个人防火墙的这个优势，越来越多的大企业在自己强大的企业级 防火墙之内，又为公司的每台p c 配置一套个人防火墙，以起到双重保险的作用。 随着对防火墙认识的深入，用户己开始青睐这种网络安全产品，其增长的动 力主要来源于中小型企业以及家用电脑用户。据调查，今后防火墙市场每年平均 增长率预计可达到3 8 7 。如今，如何规范网上行为，保障网络安全，己成为每一 个国家极力关注的问题，保卫网络安全，也将成为一个国际性行为。信息安全产 业己成为信息产业发展最快、最具市场前景的高新技术产业，而个人防火墙也必 将在i t 市场逆流而上成为新的经济增长点。 1 4 本文的内容和组织结构 本文从目前网络安全闷题入手，简要概述了防火墙技术并指出实现防火墙的 重要性，接着较为详细地介绍了w i n d o w s2 0 0 0 下的内核模式驱动程序设计，文章 详细分析了目前网络数据包的拦截技术，在此基础上通过分析对比各种方案，提 出了一种基于应用层和核心层对数据包双重过滤方案，根据此方案实现了个人阢 火墙系统的开发工作。本文章节安排如下： 第一章，绪论。首先介绍了防火墙的发展历史和现状，然后简要对防火墙 技术进行了分析，接着论述了实现个人防火墙必要性。最后指出本文 的内容和组织结构。 第二章，防火墙技术介绍。阐述了防火墙的基本概念、功能和以及分类。 最后重点对w i n d o w s 下个人防火墙技术做了分析说明。 第三章，w i n d o w s 2 0 0 0 内核模式网络驱动程序设计。首先简要介绍了 i n t e m e t 中o s i 与t c p i p 两个模型，然后详细的介绍了n d i s 网络驱动 程序设计，接着简要介绍了t d i 网络驱动程序设计，最后论述了基于 w i n 2 0 0 0 下的w d m 驱动程序设计特点及工作原理。 第四章，个人防火墙系统的总体设计，简要介绍了目前网络数据包截获方 法，并且通过分析比较目前防火墙设计方案的优缺点的基础上，提出 基于w i n d o w s2 0 0 0 个人防火墙的设计与实现 了一种基于核心态与用户态对网络数据包双重过滤的设计方案。 第五章，个人防火墙系统的具体实现，根据提出的方案具体介绍了实现过 程中的关键技术，首先介绍了采用n d i sh o o k 技术在核一t l , 层开发驱 动程序实现网络封包的截获认证过程，然后分析了应用层采用 w i n s o c k 2s p i 技术开发d l l 程序实现对基于s o c k e t 通信服务的截获 过滤过程，矮嚼镄要介绍了用户应用程序中对控管规则文件、日志文 件以及通信接口等方面的设计实现。 结束语，一方面指出系统的成功和不足之处，另一方面总结在设计和实现 系统的过程中的经验和教训并对系统今后改进与完普提出一些意见。 第二章防火墙技术介绍 第二章防火墙技术介绍 本章首先对防火墙的基本概念、功能及其分类等进行简要概述，然后着重对基 于w i n d o w s 操作系统下的个人防火墙的核心技术一网络数据包拦截进行了详细的 介绍说明并且通过分析比较了其优缺点。 2 1 防火墙的一般原理 防火墙是在用户和i n t e m e t 之间插入一个或几个中介系统的控制关联从而获取 一种安全性的方法：它有助于实施一个比较广泛的安全性政策，用以确定允许提 供的服务和访问【4 l 。被保护的环境称为内部网络，另方被称为外部网络，它位于 内部网络与外部网络之间，用来对进出内部网络的所有网络包进行基于指定规则 的过滤，从而有效地控制内部网络和外部网络之间的访问及数据传送，达到保护 内部网络的目的，如图2 1 所示。就网络配置、一个或多个主系统和路由器以及其 他安全性措施( 如代替静态口令的先进验证) 来说，防火墙是该政策的具体实施。防 火墙系统的主要用途就是控制对受保护的网络( 即网点1 的往返访问。它实施网络访 问访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。 面向个人用户的防火墙软件我们就称为个人防火墙( p e r s o n a lf i r e w a l l ) 。个人防 火墙可以根据用户的要求隔断或连通用户的计算机与i n t e m e t 问的连接。用户可以 通过设定规则( r u l e ) 来决定哪些情况下防火墙应该隔断计算机与i n t e m e t 间的数 据传输，哪些情况下允许两者间的数据传输。 设计防火墙的目的有如下几点： 限制访问者进入一个被严格控制的点。 防止进攻者接近防御设备。 + 限制访问者离开一个被严格控制的点。 + 检查、筛选、过滤和屏蔽信息流中有害服务，防止对计算机系统蓄意破坏。 !基于w i n d o w s 2 0 0 0 个人防火墙的设计与实现 图2 1 防火墙示意图 归纳起来，防火墙有以下几种功能： + 过滤掉不安全服务和非法用户。 。控制对特殊站点的访闻。 + 可以作为部署n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ，网络地址变换) 的地点， 利用n a t 技术，将有限的球地址动态或静态地与内部的l p 地址对应起来，用来 缓解地址空间短缺的问题。 + 提供了监视i n t e m e t 安全和预警的方便端点。 4 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 w w w 服务器和f t p 服务器，将其作为向外部发布内部信息的地点。从技术角度 来讲，就是所谓的停火区( d m z ) 。 2 2 防火墙的分类 防火墙是一种安全有效的防范措施技术，是访问控制机制、安全策略和防入侵 措施。从结构上分，防火墙可以分为以下三类： 幸包过滤型防火墙( p a c k e t f i l t e r ) ，包过滤型防火墙处于t c p ，d 协议的i p 层， 如图1 1 所示。它是根据定义好的过滤规则审查每个数据包并确定数据包是否与过 滤规则匹配，从而决定数据包的转发或丢弃。过滤规则是按顺序进行检查的，直到 有规则匹配为止。如果没有规则匹配，则按缺省的规则执行。防火墙的缺省规则 应该是禁止。过滤规则基于数据包的包头信息进行制定。包头信息中包括i p 源地 址、口目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u d p 目标端口、i c m p 消 息类型、t c p 包头中的a c k 位等，因此包过滤型防火墙只能实现基于i p 地址和 端口号的过滤功能，它实际上是控制内部网络上的主机直接访问外部网络，而外 部网络上的主机对内部网络的访问则要受到限制。 图2 2 包过滤型防火墙示意图 包过滤型防火墙的性能很大程度上取决于过滤规则的设计与过滤算法。使用 包过滤型防火墙的优点包括：一个过滤路由器能协助保护整个网络。数据包过滤 的主要优点之一是，一个单个的、恰当放置的包过滤路由器有助于保护整个网络。 第二章防火墙技术介绍 如果仅有个路由器连接内部与外部网络，不论内部网络的大小、内部拓朴结构， 通过那个路由器进行数据包过滤，在网络安全保护上取得较好的效果。数据包过 滤对用户透明。数据包过滤不要求任何自定义软件或者客户机配首，它也不要求 用户任何特殊的训练或者操作。当数据包过滤路由器决定让数据包通过时，它与 普通路由器没什么区别。比较理想的情况是：甚至用户将没有认识到它的存在， 除非他们试图做过滤规则中所禁止的事。较强的“透明度”是包过滤的一大优势。 包过滤型防火墙的缺点：工作在网络，只检查i p 和t c p 地包头，不能彻底防止地 址欺骗。大多数包过滤路由器都是都是基于源讲地址、目的口地址而进行过滤的。 而邛地址的伪造是很容易、很普遍的。过滤路由器在这点上大都无能为力。即使 按m a c 地址进行绑定，也是刁i 可信的。对于些安全性要求较高的网络，过滤路 由器是不能胜任地。些应用协议不适合于数据包过滤。即使是完美的数据包过 滤实现，也会发现一些协议不很适合于经由数据包过滤安全保护。而且，服务代 理和f i t t p 的链接，大大削弱了基于源地址和源端口的过滤功能。 应用代理型防火墙( p r o x y ) ，应用代理型防火墙工作在应用层，在应用层实 现防火墙功能，如图2 3 所示。每种应用都需要安装和配置不同的应用代理程序， 比如访问w e b 站点的h t t p ，用于文件传输的f t p ，用于e 瑚a 】l 的s m t p p o p 3 等等。它主要使用代理技术来隔离内部网络和外部网络之间的直接通信，达到隐藏 内部网络的特性。代理型防火墙从一个接口接受数据，按照预先定义的规则检查 可信性，如果可信，就将数据传给另一个接口。代理技术不允许内网和外网直接 对话，真正使得内部系统和外部系统完全独立。代理型防火墙除了能实现包过滤 防火墙的功能外，还能实现基于用户的身份认证功能，以及应用协议内部的更详 细的控制功能，因此它比包过滤防火墙要安全，但是它需要用户客户端做一定的 配置修改，因此失去了包过滤型防火墙的透明性。 图2 3 应用代理型防火墙示意图 代理技术的优点；代理易于配置。代理因为是个软件，所以它较过滤路由 器更易配置，配置界面十分友好。代理能生成各项记录。因代理工作在应用层， 基于w i n d o w s 2 0 0 0 个人防火墙的设计与实现 它检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、 记录对于流量分析、安全检验是十分重要和宝贵的。当然，也可以用于记费等应 用。代理能灵活、完全地控制进出流量、内容。通过采取一定的措旋，按照一定 的规则，我们可以借助代理实现整套的安全策略。代理能过滤数据内容。我们可 以把一些过滤规则应用于代理，让它在高层实现过滤功能。代理能为用户提供透 明的加密机制。用户通过代理进出数据，可以让代理完成加解密的功能，从而方 便用户，确保数据的机密性。代理技术的缺点：代理速度较路由器慢。代理工作 于应用层。要检查数据包的内容，按特定的应用协议( 如r r r t p ) 进行审查、扫描数 据包内容，并进行代理( 转发请求或响应) ，故其速度较慢。代理对用户不透明。许 多代理要求客户端作相应改动或安装定制客户端软件，这给用户增加了不透明度。 复合型防火墙：由于对更高安全性的要求，常把基于包过滤的方法与基于 应用代理的方法结合起来，形成复合型防火墙产品，结构如图2 4 所示。 图2 4 复合型防火墙示意图 复合型防火墙既不是单纯的代理防火墙，又不是纯粹的包过滤。它能从数据 链层、i p 层、t c p 层到应用层都施加安全控制，且能直接进行网卡操作，对出入 的数据进行透明加密、解密。它支持数据加密、解密( d e s 和r s a ) ，提供对虚拟 网v p n 的强大支持。目前，国内有多个企业都推出了防火墙产品，如北京天融信、 清华得实等。相信随着国内网络规模的不断扩展以及网络应用的逐渐深入，国产 网络安全产品将成为保护我国网络信息安全的主力军。 2 3w i n d o w s 下个人防火墙技术概述 随着i n t e r n e t 的发展，越来越多的计算机被连接到了i m e m e t ，与此同时没有 安全保证的连接会使用户的计算机面对不法分子的入侵、攻击和其他i n t e r n e t 上的 威胁而束手无策。所以对于用户而言，急需一种可以信赖的网络安全产品来保障 第二章防火墙技术介绍 自己的隐私以及应用网络的安全。由此便出现了面向个人用户的网络安全软件即 个人防火墙，在p c 机上使用的个人防火墙，很大程度上成为广大网民的安全保护 者。它广泛地应用于以下几种情况：电脑上的文件需要通过i n t e m e t 被远程访问； 需要操作某种i n t e r n e t 服务器，如个人网站服务器；需要使用某种基于i n t e m e t 的远程控制或远程访问程序。需要预先保护你的系统，免受”特洛依木马”的危害。 在网络通讯越来越普及的今天，网络化生存已经成为不可阻挡的趋势。 与大型网络防火墙不同的是个人防火墙通常是面对用户的个人操作系统，并通 过用户操作系统实现对网络的控制，使得运行在系统上的网络应用软件在访问网 络的时候，都必须经过防火墙的确认。个人防火墙的优点； 增加了保护级别，不需要额外的硬件资源。 个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。 个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使 用的是m o d e m 或i s d n a d s l 上网，可能一个硬件防火墙实在是太昂贵， 或者太麻烦。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息，例 如理地址之类的信息等。 个人防火墙的缺点：个人防火墙主要的缺点就是对公共网络只有一个物理接 口。真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样个人 防火墙本身可能会容易受到威胁，或者说具有这样一个弱点，网络通信可以绕过 防火墙的规则。 目前，所有基于w i n d o w s 操作系统的个人防火墙核心技术为数据包拦截技术。 不同的防火墙对数据包的拦截技术当然在具体的实现方式上有很大的不同。但总 的来说可分为用户级和内核级数据包拦截两类。其中内核级主要是t d i 过滤驻动 程序，n d i s 中间层过滤驱动程序，n d i s 过滤钩子驱动程序等，它们都是利用网 络驱动来实现的；而用户级的过滤包括s p i 接口，w i n d o w s 2 0 0 0 包过滤接口等 总的来说，要拦截w i n d o w $ 下的网络数据包可以在两个层面进行：用户态 ( u s e r m o d e ) 和内核态( k e r n e l m o d e ) 。在用户态下进行网络数据包拦截有以下几种方 法： 一w i n s o c kl a y e r e ds e r v i c ep r o v i d e r ( l s p ) 。这种方法的好处是可以获得调用 w i n s o c k 的进程详细信息。这就可以用来实现q o s ，数据流加密等目的。 但是，如果应用程序直接通过t d i ( t r a n s p o r td r i v e ri n f a c e ) 调用t c p i p 来发 送数据包，这种方法就无能为力。对于一些木马和病毒来说可以通过t d i 实现直接调用t c p i p ，因此，大多数的个人防火墙都不使用这种方法。 _ w i n d o w s2 0 0 0 包过滤接口。w i n d o w s2 0 0 0i p h l pa p i 提供了安装包过滤器 的功能。但是，包过滤的规则有很多限制，对于个人防火墙来说是远远不 够的。 基于w i n d o w s 2 0 0 0 个人防火墙的设计与实现 替换系统自带的w i n s o c k 动态连接库。 很显然，在用户态下进行数据包拦截最致命的缺点就是只能在w i n s o c k 层次上 进行，而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病 毒来说很容易避开这个层次的防火墙。目前，大多数个人防火墙都是利用网络驱 动程序来实现的，主要有以下几种方法： t d i 传输艟过渣驱动程序。当应用程序要发送或接收网络数据包韵候，都 是通过与协议驱动所提供的接口来进行的。协议驱动提供了一套系统预定 义的标准接口来和应用程序之间进行交互。在w i n d o w s2 0 0 0 n t 下， i p ，t o p ，u d p 是在一个驱动程序里实现的，叫做t c p s y s ，这个驱动程序创建了 几个设备：d e v i e e r a w i p ，d e v i c e u d p ，d e v i c e t c p ，d e v i c e l p ， d e v i c e m u l t i c n s t 。应用程序所有的网络数据操作都是通过这几个设备进行 的。因此，我们只需要开发一个过滤驱动来截获这些交互的接口，就可以 实现网络数据包的拦截。t d i 层的网络数据拦截还可以得到操作网络数据 包的进程详细信息，这也是个人防火墙的一个重要功能。 n d i s 中间层驱动程序。中间层驱动介于协议层驱动和小端口驱动之间，它 能够截获所有的网络数据包。中间层驱动源于w m d o w s n t 中分层设计，允 许系统在协议层驱动和微端口驱动之间存在任意多个中间层驱动，以完成 所需的工作。中间层驱动的概念是在w i n d o w n ts p 4 之后才有的，因此对 于w i n d o w s 9 x 来说无法直接利用中间层驱动的功能。目前个人防火墙的产 品还很少用到这种技术，主要的原因在于中间层驱动的安装过于复杂，尤 其是在w i n d o w s n t 下。w i n d o w s2 0 0 0 下可以通过程序实现自动安装，但 是如果驱动没有经过数字签名的话，系统会提示用户是否继续安装。中间 层驱动功能强大，应该是今后个人防火墙技术的趋势所在，特别是一些附 加功能的实现。 v ，i n 2 kf i l t e r h o o kd r i v e r 。这是从w t n d o w s 2 0 0 0 开始系统所提供的一种驱 动程序，该驱动程序主要是利用i p f i l t d r v s y s 所提供的功能来拦截网络数据 包。f i i t e r - h o o kd r i v e r 在结构非常简单，易于实现。但是正因为其结构过 于简单，并且依赖于i p f i l t d r v s y s ，m i c r o s f o t 并不推荐使用f i l t e r - h o o k d r i v e r 。 n d i sh o o kd r i v e r 。这是目前大多数个人防火墙所使用的方法。h o o k 技术 的概念在w i n d o w s g x 系统非常流行且容易实现，在w i n d o w s 9 x 下，驱动程 序( v x d ) 通过使用h o o kd e v i c es e r v i c e 可以挂接n d i s 所提供的所有服务。 在w i n d o w sn t 2 0 0 0 下与w i n d o w s 9 x 下工作机制不同，要实现h o o k 有两 种不同的思路：通过修改n d i ss y s 的e x p o r tt a b l e 。在w i n d o w s n t 2 0 0 0 操作系统下，可执行文件( 包括d l l 以及s y s ) 都是遵从 p e ( p o r t a b l ee x e c u t a b l e ) 格式的。所有向其它操作系统组件提供接口的驱动 第二童防火墙技术介绍 程序都有e x p o r tt a b l e ，因此只要修改n d i s s y s 的e x p o r tt a b l e 就可以实 现对关键n d i sa p i 的挂接。由于协议驱动程序在系统启动的时候会调用 n d i s r e g i s t e r p r o t o c o l 来向系统进行协议注册，因关键在于修改n d i ss y s 所提供的库函数的起始地址。在用户态模式要修改p e 文件格式可以用一些 a p i 来实现，而n d i s s y s 位于系统的核心内存区，因此要修改n d i ss y s 就必需通过编写驱动程序来实现，要求我们对p e 文件格式有相当了解。使 用这种方法还要注意驱动程序的加载次序，显然h o o kd r i v e r 必须在 n d i ss y s 被加载之后，而在协议驱动程序如t c p i p s y s 被加载之前。向 系统注册假协议。在w i n d o w s 内核中，所有已注册的协议是通过一个单向 的协议链表来维护的。这个单向链表保存了所有已注册协议的 n d i sp r o t o c o lb l o c k 结构的地址，在这个结构中保存了协议驱动所 指定的相应的派发函数的地址如r e c e i v eh a n d l e r 等。并且，每个协 议驱动还对应一个n d i so p e nb l o c k 的单向链表来维护其所绑定的网 卡信息。当协议驱动调用n