（计算机应用技术专业论文）基于windows环境的个人防火墙系统的研究与实现.pdf

武汉理上大学硕+ 学位论文 摘要 随着互联网的飞速发展，越来越多的企业和用户连接到互联网中。人们在 充分享受着互联网所带来的方便和高效的同时，也不断受到各种计算机病毒感 染和黑客恶意攻击的侵扰。在网络安全解决方案巾，建立或设置防火墙是- - 一个 非常关键和有效的环节。 目前市场上大多数的防火墙产品虽然功能强大，但有。一个致命缺点：防外不 防内。因为它们基于下述假设：内部网是安全的，所有威胁来自网外。所阱难以 实现对企业内部局域网主机之间的安全通信，也不能很好的解决每一个拨号上 网用户所在主机的安全问题。而大多数个人上网之时，并没有真正处于得到防 护的安全网络中。个人l 网用户多使用w i n d o w s 操作系统，而w i n d o w s 操作系 统本身的安全性就不高。各种w i n d o w s 漏洞不断被公布，对主机的攻击也越来 越多。因此，为了保护主机的安全通信，研制有效的个人防火墙很有必要。 本论文研究的是在w in d o w s 环境下个人防火墙系统的设计与实现，这主要 足因为w i n d o w s 操作系统在个人计算机中使用广。泛。本文在首先介绍了目前个 人用户在上网的过程中所要面对的各种威胁，然后介绍了防火墙的概念及原理。 个人防火墙的关键在于实现网络封包的过滤，第三部分主要介绍了目前流行的 各种网络封包过滤技术，在分析了各种过滤技术的优缺点后，选择了w i n s o c k2 s p i 技术，并着重对其进行了介绍。 本论文粟取了常用的模块化设计思想，第四部分对个人防火墙的整体功能 进行了设计，然后根据功能设计各个模块，并对每个模块的功能和实现都进行 了详细的说明。第五部分主要说明了该防火墙中的文件设计，其中包括控管规 则文件和曰志文件的结构。第六部分介绍了个人防火墙的核心模块封包过 滤模块的具体实现。 最后，对个人防火墙系统进行了测试，给出了测试结果，并进行了分析， 在分析的基础上对进一步的研究提出了建议。 关键词：互联网，计算机病毒，网络，防火墙，w i n s o c k2s p i ，过滤 武汉理：c 大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r a c t ，m a n ye n t e r p r i s eu s e r sa n ds i n g l eu s e r s c o n n e c tt oi t p e o p l ee n j o yt h ec o n v e n i e n c ea n dg r e a t e f f i e i e n c y b r o u g h tb yt h e i n t e r a c t ，a tt h es a m et i m e ，t h e i rc o m p u t e r sa r ec o n t i n u a l l ys u f f e r e df r o mm a n yk i n d s o f c o m p u t e rv i r u sa n dh a c k e r s a t t a c k o n eo f t h ee f f e c t u a la n di m p o r t a n ts o l u t i o n sf o r n e t w o r ks e c u r i t yi st os e tf i r e w a l l o nt h em a r k e tt h o u g hm o s tp r o d u c t s f u n c t i o n so ff i r e w a l la r eq u i t es t r o n ga t p r e s e n t ，t h e ya r eb a s e do nb l o wh y p o t h e s e ，w h i c ht h ei n n e rn e t w o r ki s s a f ea n d r e l i a b l e ，a n da l lt h et h r e a t sa r ef r o mt h eo u t e rn e t w o r k t h e nt h ef i r e w a l lo n l yn e e d s t ob ec a u t i o u st ot h eo u t e rn e t w o r la n dn o tt ot h ei n n e r t h u s i ti sd i f f i c u l tt or e a l i z e t h es e c u r ec o m m u n i c a t i o nb e t w e e nt h eh o s tc o m p u t e r si nt h el a no fe n t e r p r i s e ，a n d a l s ot os e t t l eh o s t ss e c u r i t yp r o b l e mo fe v e r yd i a l i n gi n t e r n e tu s e r m o s th o s t sh a v e n o tp l a c e dt h e m s e l v e su n d e rt h ep r o t e c t i o no fi n n e rs e c u r i t yn e t w o r kd u r i n gu s e r si n n e t w o r k t h ep e r s o n a li n t e m e tu s e rm o s t l yu s e sw i n d o w so s ，a n di t ss e c u r i t yi sn o t v e r yg o o d v a r i o u sk i n d so fw i n d o w sl o o p h o l ea r eb e i n ga n n o u o n c e dc o n s t a n t l y , a t t a c ko ft h eh o s tc o m p u t e ri sm o r ea n dm o r e ，t o o t h e nt op r o t e c tt h es e c u r e c o m m u n i c a t i o no ft h eh o s tc o m p u t e r , i ti s v e r yn e c e s s a r yt od e v e l o pe f f e c t i v e p e r s o n a lf i r e w a l l t h i st h e s i sf o c u s e so nt h er e s e a r c ho ft h ep e r s o n a lf i r e w a l ia n di t sr e a l i z a t i o n u n d e rw i n d o w so s ，b e c a u s et h ew i n d o w so si s a p p l i e di np e r s o n a lc o m p u t e r s b r o a d l y f i r s t , t h i sp a p e ri n t r o d u c e sk i n d so ft h r e a t si nn e t w o r kd u r i n gt h ec o u r s eo f p e o p l eu s ei t ，a n dt h e ni n t r o d u c e st h ec o n c e p t i o na n dt h e o r e mo ff i r e w a l l t h em o s t i m p o r t a n tt e c h n o l o g yi np e r s o n a lf i r e w a l li sp a c k e tf i l t e r i n g ，t h et h i r dp a r ti n t r o d u c e s k i n d so fp a c k e tf i l t e r i n gt e c h n o l o g yw h i c ht i t l em o s t p o p u l a rn o w a d a y s ，t h e n d i s c u e s s e st h e i ra d v a n t a g e sa n dd i s a d v a n t a g e s ，a tl a s t ，ic h o o s ew i n s o c k2s p i t e c h n o l o g ya n dh e a v yi n t r o d u c e si t t h i sp a p e ra d o p t st h es o f td e s i g ni d e ao f t h es t r u c t u r ea n dm o d u l a r i z e ，t h ef o u r t h p a r td e s i g n st h ep e r s o n a lf i r e w a l l sf u n c t i o n sf r o mt h et o t a lt o p ，t h e nd e s i g n sm o d u l e s i nl i g h to ft h ef u n c t i o n sa n de x p l a i n st h ef u n c t i o n sa n da c h i e v e m e n t sf o re v e r y i l 武汉理_ 大学硕+ 学位论文 m o d u l ei nd e t a i l t h ef i f t hp a r tm a i n l yd e s i g n st h ed o c u m e n t so ft h i sp e r s o n a lf i r e w a l l ， i n c l u d e st h es t r u c t u r eo fc o n t r o lc a n a lr u l ed o c u m e n t sa n dj o u m a ld o c u m e n t s t h e s i x t hp a r ti n t r o d u c e st h ep a c k e tf i l t e r i n gm o d u l ew h i c hi st h em o s ti m p o r t a n t m o d u l e sa c h i e v e m e n t si nd e t a i l i nt h ee n d ，t h ef u n c t i o n so f t h ep e r s o n a lf i r e w a l la r et e s t e d ，t h er e s u l ti sa n a l y z e d a n ds o m ep r o p o s a l sa r e p u tf o r w a r df o rf u r t h e rr e s e a r c h k e y w o r d ：i n t e r n e t ，v i r u s , n e t w o r k , f i r e w a l l ，w i n s o c k2s p i ，f i l t e r i n g i l l 武汉理工大学硕十学位论文 1 1 引言 第1 章绪论 计算机网络的信息共享与信息安全是网络上最大的悖论“1 。随着计算机网络 技术的快速发展，人们越来越感到网络的快捷和方便，越来越多的工作开始依 赖网络完成，毫不夸张地说，网络技术的发展已经成为社会进步的一个重要标 志。但是，凡事都有正反两个方面，网络也不例外，它在带给我们快捷的同时 也给我们带来了很多的问题，黑客和病毒的攻击等计算机犯罪事件频频发生， 时刻威胁着我们的信息和秘密。据有关报道，黑客每年给全世界网络带来的损 失高达1 0 0 亿美元以上。因此，网络的安全性问题已经越来越受到世界各国的 重视。 随着网络安全问题的日益突出，网络安全产品也越来越被人们重视。防火 墙作为最早出现和使用量最大的网络安全产品，也受到用户和研发机构的青睐， 丽个人防火墙在所有类型的防火墙中是应用最为广泛的类，因此，对于它的 研究具有很重要的意义。 1 2 网络安全 1 2 1 网络安全的定义 什么是计算机网络安全，尽管现在这个词非常容易见到，但是真正对它有 个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易，最主要 的困难在于要形成一个足够全面而有效的定义。通常的感觉下，安全就是”避免 冒险和危险”。在计算机科学中，安全就是防止未授权的使用者访问信息未授 权而试图破坏或更改信息。这可以重述为”安全就是一个系统保护信息和系统 资源相应的机密性和完整性的能力州”。 1 2 2 网络安全的内容 根据参考文献 3 1 我们可以知道，网络安全主要包括以下内容： 保密性 武汉理： 大学硕士学位论文 为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。尽管 计算机网络安全不仅仅局限于保密性。但不能提供保密性的网络肯定是不安全 的。网络的保密性机制除了为用户提供保密通信以外，也是许多其他安全机制 的基础。例如，接入控制中登录口令的设计、安全通信协议的设计以及数字签 名的设计等都离不开密码机制。 安全协议的设计 人们一直希望能设计出安全的计算机网络，但不幸的是，网络的安全性是 不可判定的。目前在安全协议的设计方面，主要是针对具体的攻击设计安全的 通信协议。但如何保证所设计的协议是安全的? 协议安全性的保证通常有两种 方法，一种是用形式化的方法来证明。另外一种是用经验来分析协议的安全性。 形式化证明的方法是人们所希望的，但一般意义上的协议安全性也是不可判定 的，只能针对某种特定类型的攻击来讨论其安全性。对复杂的通信协议的安全 性，形式化证明比较困难，所以主要采用找漏洞的分析方法。对于简单的协议， 可通过限制敌手的操作( 即假定敌手不会进行某种攻击) 来对一些特定情况进 行形式化的证明，当然，这种方法有很大的局限性。 接入控制 接入控制( a c c e s sc o n t r 0 1 ) 也叫做访闯控制或存取控制。必须对接入网 络的权限加以控制，并规定每个用户的接入权限。由于网络是个非常复杂的系 统，其接入控制机制比操作系统的访问控制机制更复杂，尤其在高安全性级别 的多级安全性( m u l t i l e v e ls e c u r i t y ) 情况下更是如此。 1 2 3 网络安全的目标 根据参考文献1 4 l 我们可以知道，网络安全的目标可以归纳为以下几个方 面： 只有合法用户( 人或一个系统实体) 才能接入，并对信息系统的资源进 行访问； 合法用户必须能够接入它们所被授权接入的资源，并能进行访问： 所有的用户必须对、并只对他自己的信息系统中的行为负责； 系统应当能够拒绝未经申请的接入操作； 应当可以从系统中获取与安全管理有关的信息； 如果一个对安全的侵害被检测出来，应有可控制的方法来处理，从而使 2 武汉理j r 大学硕士学位论文 所造成的损失降到最小的程度： 在一个对安全的破坏被检测出来后，系统可以恢复到正常的安全等级： 系统的结构应当提供一定的灵活性，以支持不同的安全管理策略。 1 3 计算机网络体系中的安全隐患 计算机技术最早应用在军事领域，因此，计算机网络安全大者会关乎一个 国家乃至世界的安全，小者关乎到每个使用个人计算机的上网用户。 1 3 1 来自于i n t e m e t 的安全问题 如今的个人网络用户建立高速i n t e r n e t 连接的时候，通常只有两种方式可 以选择：局域网接入或者是a d s l 。这两种接入技术都能提供比5 6 k 快2 0 倍的速 率，而且能保持稳定连接。由于是稳定连接的，因此i p 地址也总是保持不变。 而高速连接的确很好，但是其优势也正是其劣势所在，多数情况下高速连接就 像未上锁的前门向外敞开一样。这是由高速连接的下列特性决定的： i p 地址固定一一使得入侵者容易一再跟踪你的计算机； 高速访问一一入侵者同样可以用更快的速度闯入你的计算机： 主动连接一一意味着连接的主机更容易受到攻击”： 1 3 2 个人计算机面临的威胁 恶意代码 在个人用户接收的电子邮件和从互联网上下载的应用程序当中，极有可能 包括一些恶意代码，这主要包括病毒、木马和蠕虫等等。这些恶意代码带有一 定的隐藏性，潜伏时间长，极不容易被发现。一旦发作，将给用户带来巨大的 损失。病毒、蠕虫可以破坏用户有用的文件，木马能使用户的计算机被远程控 制，用户所有的资源都会暴露无疑。 c o o k i e 资料 c o o k i e 是访闯过的网站在个人硬盘上留下的记录，是t x t 文本文件，主要 是用来记录个人在网站输入的信息或访问站点时所做的选择，包括用户名、密 码等一系列的重要信息。c o o k i e 的本意是为了方便用户访问网站，但是这个方 便也容易被入侵者利用，入侵者可以通过特别制作的w e b 页面或电子邮件侵入 c o o k i e ，接着从w e b 帐户中窃取或者改动数据，包括用户的信用卡号、用户名、 武汉理 大学硕士学位论文 密码以及上网帐号和密码等。 共享文件的安全 为了工作方便，用户经常设置一些共享文件。保护共享文件和保护私有数 据同等重要，因为共享文件通常是黑客入侵的后门之一。 4 武汉理工大学硕十学位论文 第2 章防火墙的一般原理 2 1 防火墙的概念 “防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合， 它在使互联网与内部网之闻建立起一个安全网关( s e c u r i t yg a t e w a y ) ，从而保 护内部网免受非法用户的侵入；防火墙它其实就是一个把互联网与内部网( 通 常指局域网或城域网) 隔开的屏障”1 。防火墙与内部网、和互联网之间的关系连 接如图2 1 所示。 从防火墙的概念以及图 2 1 中可以看出，防火墙在 本质上就是一个过滤器，其 目的就是要在不安全的网络 环境中创造一个相对安全的 内部网络环境。它要求所有 进出内部网的信息必须通过 它，并且对这些信息根据其 本身定义的安全过滤规则进 行分析和筛选，只让其认为 安全的信息通过，以此来达 图2 1防火墙与内部网、互联网的连接 到保护内部网络不受外部攻击和保护内部信息不外泄的目的。 从防火墙的概念上我们可以看出，典型的防火墙应该具有以下五个特征： 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙，其他的数据将被防火墙丢弃。 防火墙自身应具有非常强的抗攻击免疫力，否则，防火墙的保护功能将大大 降低。 采用目前新的信息安全技术，如现代加密技术、一次口令系统、智能卡等增 强防火墙的保护功能，为内部网提供更好的保护。 人机界面良好，用户使用方便，容易管理。系统管理员能够方便地设置防火 墙，并对i n t e r n e t 的访问者、被访问者、访问协议以及访问方式进行控制； 武汉理t 大学硕+ 学位论文 一个难于使用的防火墙是难以博得用户满意的”1 。 面向个人用户的防火墙软件我们就称为个人防火墙( p e r s o n a lf i r e w a l l ) 。 个人防火墙可以根据用户的要求隔断或连通用户的计算机与i n t e r n e t 间的连 接。用户可以通过设定规则( r u l e ) 来决定哪些情况下防火墙应该隔断计算机与 i n t e r n e t 间的数据传输，哪些情况下允许两者间的数据传输。 2 2 防火墙的主要功能 从2 1 中我们可以知道，防火墙的主要功能包括： 过滤掉不安全的服务和非法用户。 控制对特殊站点的访问。 可以作为部署n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ，网络地址变换) 的地点， 利用n a t 技术，将有限的1 p 地址动态或静态地与内部的i p 地址对应起来， 用来缓解地址空间短缺的问题。 提供了监视i n t e r n e t 安全和预警的方便端点。 一可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 w w w 服务器和f t p 服务器，将其作为向外部发布内部信息的地点。从技术角度来 讲，就是所谓的停火区( 聊z ) 0 1 。 2 3 防火墙的基本类型 如今市场上的防火墙林林总总，形式多样。有以软件形式运行在普通计算 机之上的，也有以固件形式设计在路由器之中的。总的来说可以分为三种：包 过滤防火墙、代理服务器和状态监视器。 2 3 1 包过滤防火墙 包过滤技术是最早被用于实现防火墙的技术，它大致是经历了以下两代的 发展。 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是 否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头 信息中包括i p 源地址、i p 目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u d p 6 武汉理丁大学硕士学位论文 且标端口，i c m p 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最 小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所 具有的问题。这种技术后来发展成为所谓包状态监测( s t a t e f u li n s p e c t i o n ) 技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根 据需要可动态地在过滤规则中增加或更新。 2 3 2 代理防火墙 代理技术也称为应用层网关技术，其工作原理比较简单，首先是用户与代 理服务器建立连接，然后将目的站点告知代理，对于合法的请求，代理以自己 的身份( 应用层网关) 与目的站点建立连接，然后代理在这两个连接中转发数 据”。 第一代：传统代理防火墙 传统代理型防火墙的实现如图2 2 所示： 图2 2 传统代理型防火墙 从图中可以看到，代理防火墙实际上并不允许在它连接的网络之间直接通 信，而是每一个内外网络之间的连接都要通过代理的介入和转换，通过专门为 特定的服务如h t t p 编写的安全化的应用程序进行处理，然后由防火墙本身提交 请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入 侵者使用数据驱动类型的攻击方式入侵内部网。如果不为特定的应用程序安装 代理程序代码，这种服务是不会被支持的，不能建立任何连接，从而提供了额 外的安全性和控制性。包过滤类型的防火墙是很难彻底避免这一漏洞的。 传统代理防火墙最大的缺点就是速度相对比较慢。如果断掉所有的连接， 7 武汉理i ：大学硕士学位论文 由防火墙重新建立连接，理论上可以使防火墙具有极高的安全性。但是实际应 用中并不可行，因为对于内网的每个对外网的访问请求，应用代理都需要丌= 一 个单独的代理进程，它要保护内网的服务器、数据库服务器、文件服务器、邮 件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访 问请求。这样，应用代理的处理延迟会很大，内网用户的对外网的j 下常访问就 不能及时得到响应。所以，当用户对内外网络网关的吞吐量要求比较高时，传 统代理型防火墙就会成为内外网络之间的瓶颈。 第二代：自适应代理防火墙 自适应代理防火墙的实现如图2 3 所示： 图2 3 自适应代理防火墙 针对传统代理型防火墙的速度慢的问题，自适应代理防火墙技术提供了解 决的办法。从图2 3 中我们可以看到，在自适应代理防火墙中，对数据包的初 始安全检查仍然在应用层进行，但是，一旦建立安全通道，其后的数据包就可 重新定向到传输速度较快网络层快速转发；另外，自适应代理技术可根据用户 定义的安全规则( 如服务类型、安全级别等) ，动态“适应”传送中的数据流 量。当安全要求较高时，安全检查仍在应用层中进行，保证防火墙的最大安全 性；而一旦可信任身份得到认证，其后的数据便可直接通过速度快得多的网络 层。所以，它可以结合传统代理型防火墙的安全性和包过滤防火墙的高速度的 优点，在毫不损失安全性的基础之上将传统代理型防火墙的性能提高到几倍甚 至十几倍以上。 2 3 3 状态监视器 状态检测技术最早是由包过滤技术发展而来的。状态监视器作为防火墙技 术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称 之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据 武汉理上大学硕士学位论文 的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保 存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并 可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达 网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安 全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全 规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。 状态监视器的另一个优点就是可以监测r e m o t e p r o c e d u r e c a l l 和u s e rda _ t a g r q a m p r o t o c o l 类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会 降低网络的速度n “。 2 4 个人防火墙的特殊性 传统意义上的防火墙是基于网关的，主要是解决企业内部网与i n t e r n e t 互 联时的i p 地址和端口的过滤、i p 地址翻译、应用服务代理和i p 包的加解密问 题。当然，这些产品的功能是非常强大的，但是，它们只是“防外不防内”，因 此也就无法真正实现对局域网内每一台主机的保护，更不用说家庭以拨号形式 上网的主机安全问题了。 个人防火墙可以根据用户的要求隔断或连通用户的计算机与i n t e r n e t 之间 的连接。用户可以通过设定规则来决定哪些情况下的防火墙应该隔断与 i n t e r n e t 之间的数据传输，哪些情况下允许两者之间的数据传输。 个人防火墙与专用防火墙设备相比，两者的区别是：个人防火墙保护的是 一台电脑，除了安装它的电脑以外，其它的全部是“外部”，而专用防火墙则需 要保护整个内部网络。两者在检查通过的网络数据包、阻止符合事先设定条件 的数据包通过网络的“数据包过滤”功能上是相同的。但是，个人防火墙具有 专用防火墙不具有的功能，比如说基于通过的数据内容和在电脑上运行的应用 软件的对应关系来判断是否让其允许数据包通过。专用防火墙则仅根据通过来 往的数据包来判断是否让其通过。 与专用防火墙相比，个人防火墙有其自身无可替代的优点，这包括以下几个 方面： 增加了保护级别，但是不需要增加额外的硬件资源。 个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部网络其他计 9 武汉理j ：大学硕十学位论文 算机的攻击。 个人防火墙对公共网络中单个系统提供了保护。如果一个家庭使用 m o d e m 或者i s d n a d s l 上网，一个硬件防火墙对其来说可能是太昂贵了， 而个人防火墙能够为用户隐蔽暴露在网络上的信息，比如i p 地址之类 的信息等。 2 5 国内个人防火墙的发展现状 个人防火墙是在企业防火墙的基础上发展起来的，目前开发个人防火墙主 要采用包过滤技术。现在国内比较流行的个人防火墙主要有天网防火墙个人版， 瑞星防火墙个人版和金山毒霸网络个人坊火墙等等。下面简要介绍一下它们的 功能： 天网防火墙个人版( 摘自天网安全阵线首页个人防火墙介绍) 天网防火墙个人版( 简称为天网防火墙) 是由天网安全实验室研发制作给 个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则( s e c u r i t y r u l e s ) 把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以 帮你抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防 火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的 安全方案，它适合于任何方式连接上网的个人用户“”。 瑞星防火墙个人版( 摘自瑞星个人防火墙下载舨首页) 保护网络安全，免受黑客攻击。内嵌“木马墙”技术，彻底解决账号、密 码丢失问题。可疑文件定位列出系统正在运行的所有进程，使病毒无以遁形。 内置细化的规则设置，使网络保护更加智能。i p 攻击追踪，使用户在面对黑客 攻击时变为“主动出击”。通过过滤不安全的网络访问服务，极大地提高了用 户电脑的上网安全。网络游戏帐号保护功能，可自动识别流行的网络游戏并进 行安全防护u ”。 金山毒霸网络个人防火墙( 摘自金山毒霸安全资讯网金山网络个人防火墙下 载版介绍) 金山毒霸网络个人防火墙( 金山网标) 测试版可以保障个人用户的上网安 全，具体体现在以下三个方面：首先，能够设置应用程序的访问权限；其次， 通过高、中、低三种安全级别的设定，达到不同程度地保护用户安全的目的； 1 0 武汉理： 大学硕十学位论文 再次，能够阻止如冰河、b i o 、网络神偷等常见木马对用户的危害。若有木马侵 入，金山毒霸网络个人防火墙测试版会及时拦截，并弹出对话框告知用户已成 功拦截，真j 下达到实时的保护个人计算机的目的“”。 武汉理1 ：大学硕士学位论文 第3 章w ii q d o w s 环境下的数据包拦截技术 由于本课题是研究在w i n d o w s 环境下构建个人防火墙系统，所以，首先必 须详细研究一下w i n d o w s 网络协议架构。在介绍这个问题之前，我们先来回忆 一下网络协议的基本知识，然后介绍w i n d o w s 网络协议架构和在w i n d o w s 环境 下常用的数据包拦截技术。 3 1网络协议 计算机网络是计算机和现代信息技术结合的产物，其目的就是要在网络中 不同的主机之间实现信息的传递和共享。为了达到这个目的，通信双方必须遵 守一定的规则才行，这些规则就是网络协议。所以，| 办议的准确概念是：控制 两个对等实体进行通信的规则的集合“1 。为了更好的理解网络协议的概念，我们 先来介绍一下开放系统互连参考模型( o s i 参考模型) 和现在最流行的t c p i p 协 议模型，从分层的模型中我们可以更好的理解协议的概念。 3 1 1o s i 参考模型和t c p i p 协议模型 0 s i 参考模型是国际标准化组织( i s o ) 于二十世纪七十年代制定的一种网络 模型，并将它作为网络体系结构的国际标准，它把网络划分为7 层。按照设计时 的构想，一个网络系统只要遵循o s i 标准，那么它就可以和位于世界上任何地 方的、也遵循o s i 标准的其他任何网络系统进行连接。o s l 参考模型只是一个概 念模型，它并没有对计算机设备或网络做出具体定义它更不是一个网络协议， 但它可以作为开发网络协议的一个标准框架。 随着i n t e r n e t 的发展，t c p i p 协议己成为事实上的广域网通信标准。t c p i p 协议采用和o s i 模型类似的概念性模型，但是将层次划分减少到4 层。每一层 功能上和o s i 模型的一层或多层相对应，为了更好的理解o s i 模型和t c p i p 模 型各层之闯的对应关系，我们把荫个分层模型放到一起，如图3 ，l 所示。 武汉理工大学硕士学位论文 o s i t c p i p 应用层 表示层 应用层 会话层 传输层传输层 网络层网际层 数据链路层 物理层 网络接口层 图3 1o s i 七层协议和t c p i p 协议的关系映射 从图3 1 中我们可以看出，t c p i p 的应用层相当于o s i 的高3 层，传输层 仍然相当于o s i 的传输层。t c p i p 协议为网络层重新取了一个名字，叫网际层， 在这里实现i p 协议。t c p i p 协议将数据链路层和物理层统称为网络接口层。 另外，t c p i p 协议族在各层协议中的位置如图3 2 所示： 应用层 运输层 网际层 网络接口层 足乒 回 ， 图3 2t c p i p 协议族 从图3 2 中我们可以看出，t c p i p 协议族的应用层和网络接口层都有多种 协议，上层的各种协议都向下汇聚到个i p 协议中。这说明t c p i p 可以为各 种应用提供服务，同时也可以连接到各种网络上。正因为如此，因特网才能发 展到今天这样的规模。并且，从图中我们也能看出i p 协议的核心作用。 3 2w i n d o w s 操作系统的总体架构 w i n d o w s 操作系统总体架构分为两个层次，上面为应用层，下面为核心层。 其结构如图3 3 所示： 武汉理工大学硕士学位论文 应用程序( e x e ) 应用程序( 暖e ) 应用层动态连接库( d 1 1 ) 核心层 驱动程序( s y s ) 硬件 图3 3w i n d o w s 操作系统的总体架构 应用层是普通用户使用计算机时经常接触到的，应用程序( e x e 文件) 工 作在这一层；动态链接库( d l l 文件) 也属于应用层的范畴，它被应用程序调 用时就成为应用程序的一部分，所以它们并没有本质的区别，但是它们是两种 工作方式不同的应用程序，我们都知道应用程序( e x e 文件) 是一个可以独立 执行的模块，受w i n d o w s 进程机制保护，其他程序无权直接使用这个程序的模 块和数据。动态链接库( d l l 文件) 是一个共享数据库，它提供标准接口供其 他程序调用，本身并不能单独运行。 各种用户界面都是应用程序运行的结果，它们工作在应用层。在应用层下 面还有一层，叫做核心层( k e r n e l ) 。w i n d o w sn t 2 0 0 0 x p 下核心层的程序扩展 名为s y s ，这些程序叫做驱动程序，它们为上层应用程序提供底层的支持。 这种分层的结构有许多优点。首先，它可以实现代码共享。以协议驱动程 序为例，一个系统里会有许多程序使用相同的网络协议，把协议驱动程序单独 调用出来就可以实现代码的共享，所有程序都可以调用同一个协议驱动程序。 这样，操作系统就可以使协议对于应用程序透明，应用程序不关心协议的实现 方法，只要按照提供的接口函数作相应的操作即可。其次，这种分层结构可以 实现安全保护。核心层的程序对程序的执行效率和代码的严谨性、强壮性要求 都很高，一旦它们出现问题极有可能使整个系统瘫痪。因此，操作系统分为两 层，可以赋予它们不同的权限，应用层权限较低，一个应用程序运行的好坏对 系统没有大的影响。核心层权限较高，具有与操作系统同等的权限，几乎可以 对所有的软硬件资源进行直接的读写操作“”。 3 3w i n d o w s 环境下的数据包截获技术 由于w i n d o w s 系统架构分为两个层次，所以在w i n d o w s 环境下的数据包的 1 4 武汉理一i ：丈学硕士学t i ) = 论文 截获也主要分为两大类，即在应用层截获数据包和在核心层截获数据包，前者 主要包括l s p ( w i n s o c kl a y e r e ds e r v i c ep r o v i d e r ) 和替换系统自带的w i n s o c k 动态连接库，后者主要包括用传输层过滤驱动程序( t r a n s p o r td r i v e r i n t e r f a c e ) 截获网络封包和用n d i s ( n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) 中间驱动程序截获网络封包下面我们对它们进行介绍并分析其各自的优缺点。 3 3 ，l在用户层截获数据包的技术 1 ) w i n s o c kl a y e r e ds e r v i c ep r o v i d e r ( l s p ) 。这种方法的好处是可以获得调 用w i n s o e k 进程的详细信息。这就可以用来实现q o s ，数据流加密等目的。 但是，如果应用程序直接通过t d i 调用t c p i p 来发送数据包，这种方法就 无能为力了。对于一些木马和病毒来说可以通过t d i 实现直接调用t c p i p ， 因此，大多数的个人防火墙都不使用这种方法。 2 ) 替换系统自带的w i n s o c k 动态链接库。这就是常用的w i n s o c k 2s p i 编程技 术。这种技术在后面会有详细的介绍。 3 3 2 在核心层截获数据包的技术 1 ) 传输层过滤驱动程序( t d i ) 。驱动程序提供了一种分层结构的过滤驱动 程序，用这种技术可以在现有的驱动程序结构中插入一层。当应用程序要发送 或接收网络数据包的时候，都是通过与协议驱动所提供的接口来进行的。协议 驱动提供了一套系统预定义的标准接口来和应用程序之间进行交互。在w i n d o w s 2 0 0 0 n t x p 下，i p 、t c p 、u d p 是在一个驱动程序里实现的，叫做t c p s y s ，这 个驱动程序创建了几个设备：d e v i c e r a w i p ，d e v i c e u d p ，d e v i c e t c p ， d e v i c e i p ，d e v i c e m u l t i c a s t 。应用程序所有的网络数据操作都是通过这几个设 备进行的。因此，我们只需要开发一个过滤驱动来截获这些交互的接口，就可 以实现网络数据包的拦截。t d i 层的网络数据拦截还可以得到操作网络数据包的 进程详细信息，这也是个人防火墙的个重要功能。 2 ) n d i s ( n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) 中问层驱动程序。n d i s 为传输层提供标准的网络接口，所有的传输层驱动程序都需要调用n d i s 接口来 访问网络。n d i s 支持写三种类型的程序程序：m i n i p o r t 驱动程序( m i n i p o r t d r i v e r ) ，中间驱动程序( i n t e r m e d i a t ed r i v e r ) p r o t o c o l 驱动程序( p r o t o c o l 武汉理_ l ：大学硕士学位论文 d r i v e r ) 。m i n i p o r t 驱动程序可以通过n d i s 接口来完成对网卡的操作，同时开 放m i n i p o r t 接口供上层驱动调用。中间驱动程序位于m i n i p o r t 和p r o t o c o l 驱 动程序之间，中间驱动程序同时具有m i n i p o r t 和p r o t o c o l 两种驱动程序接口。 p r o t o c o l 驱动程序开放p r o t o c o l 接口提供底层驱动程序调用，实现p r o t o c o l 接口与m i n i p o r t 接口的对接。可以用p r o t o c o l 驱动程序来完成协议驱动。n d i s 中间驱动程序拓扑结构如图3 4 所示，利用n d i s 中间驱动程序可以在网卡驱动 程序和传输驱动程序之间插入一层自己的处理，从而可以用来截获网络封包并 重新进行封包、加密、网络地址转换和过滤等操作。中间层驱动源于w i n d o w sn t 中的分层设计，允许系统在协议层驱动和微端口驱动之间存在任意多个中间层 驱动，以完成所需的工作。中间层驱动的概念是在w i n d o wn ts p 4 之后才有的， 目前个人防火墙的产品还很少用到这种技术，主要的原因在于中间层驱动的安 装过于复杂。中间层驱动功能强大，应该是今后个人防火墙技术的趋势所在， 特别是一些附加功能的实现“。 图3 4n d i s 中间驱动程序拓扑结构 3 ) n d i sh o o kd r i v e r 。这是目前大多数个人防火墙所使用的方法。h o o k 技术的概念在w i n d o w s 9 x 系统非常流行且容易实现，在w i n d o w s g x 下，驱动程 1 6 武汉理上大学硕士学位论文 序( v x d ) 通过使用h o o kd e v i c es e r v i c e 可以挂接n d i s 所提供的所有服务。在 w i n d o w sn t 2 0 0 0 x p 下与w i n d o w s 9 x 下工作机制不同，要实现h o o k 有两种不同 的思路：通过修改n d i s s y s 的e x p o r tt a b l e 和向系统注册假协议”1 。 比较各个封包截获方案的优点和缺点，本课题采用了w i n s o c k 2s p i 编程技 术实现数据包的截获，这主要是因为该方法有以下几个优点：首先，工作在应 用层，以d l l 的形式存在，编程、调试方便。其次，跨w i n d o w s 平台，可以直 接在w i n d o w s9 8 n t 2 0 0 0 x p 上通用。再次，效率高由于工作在应用层，c p u 占用率低。最后，封包还没有按照低层协议进行切片，所以比较完整，很容易 做内容过滤。 但是，这种方法也有缺点，主要表现在以下几个方面： 首先，不用s o c k e t 的网络通信无法拦截，比如：使用i c m p 协议的p i n g 。 其次，微软对s p i 设计的问题，如果同时安装几个使用s p i 技术的软件，而且 有使用非标准安装方式的软件，很容易有的被绕过或者不能正常网络通信。 但是，任何一个防火墙都不能做到面面俱到，每种封包方法都有其自身的 缺点，如在核心层实现封包过滤的各种方法可以从较低的层次拦截数据包，实 现比较彻底的拦截，但是，由于那些方法是