基干Windows个人防火墙策划探析.docVIP

基于Windows的个人防火墙设计分析 　　Windows环境下个人防火墙发挥了十分重要的作用，防火墙可为个人计算机日常运行增加一道安全保护屏障，以保护用户数据信息安全。目前，多数防火墙是通过网络数据包拦截技术对网络数据进行处理，以保证流入数据的安全性。为此，本文对基于Windows的个人防火墙设计进行了综合性分析，并提出了相关观点，以供参考 【关键词】Windows 个人防火墙 设计 1 防火墙功能概述 防火墙的基本功能是在计算机网络中不同的信任程度区域之间，对数据流传输进行控制。利用防火墙对数据流进行扫描，可将部分入侵行为或攻击行为过滤掉，避免这些非法行为在目标计算机上被执行。同时，利用防火墙可将部分不使用的端口关闭，并禁止经过特定端口的通信数据流出，以实现木马封锁，最大程度上保证计算机的数据安全。另外，防火墙可禁止部分特殊站点的通信，以此来预防不明入侵者的访问。此外，防火墙的保护功能还体现为以下几个方面： （1）为内网与外网构建了有效的安全屏障，为用户创造了一个更为安全的网络环境 （2）将防火墙作为安全屏障，使得内部网络与外部网络交互无法绕开防火墙。因此，可通过防火墙将这些访问完全记录下来，并生成工作日志。利用这些工作日志可对网络运行状态进行相关分析，并反映出潜在的安全通信风险，以便及时采取针对性防控措施 （3）以防火墙为中心，可建立对应的安全方案，即可通过防火墙实现各类软件信息安全配置，让数据信息安全问题得到集中化管理 （4）利用防火墙可将外部网络与内部网络隔离，从而将局部重点网络或敏感网络所受到的影响控制在最小范围内。即便出现问题，防火墙也可及时补救 2 系统需求分析 从系统需求角度来看，基于Windows的个人防火墙满足以下功能： 2.1 网络数据包过滤 利用网络数据包截取技术对进出主机的所有数据包进行控制，并允许用户根据自身需求设计相关过滤规则，对数据包进行针对性过滤。同时，防火墙可根据相关过滤规则对截取的网路数据包进行分析，以判断是否允许数据包通过 2.2 程序控制 可对访问网络的程序或访问主机的程序进行截取，并允许用户根据自身需求设定相关网络访问权限。另外，防火墙还可将所截取的应用程序进程与该程序控制权限进行比较然后采取相应措施进行处理 2.3 用户过滤设置 防火墙可为用户提供过滤规则设置功能，允许用户添加、更改、查询过滤规则 2.4 日志监控 防火墙可对进出数据包的状态进行监控，其内容涉及协议、端口信息、IP地址等，并把相关监控信息内容记录到日志当中。同时，可对应用程序状态进行监测，包括应用程序路径、使用协议、端口、发送数据包大小等 3 防火墙设计分析 3.1 系统整体架构 在Windows系统中，防火墙的整体架构是由应用层与核心层所构成，需要在两个层级上分别实施网络数据包拦截。考虑到Winsock2 SPI技术工作效率较高，其CPU占用率较低，可对较为完整的数据包封包进行截取，所以选用该技术对应用层进行构建。核心层网络数据包截取则通过驱动程序实施，主要采取NDIS-Hook Driver方式进行。该方式可即时安装或卸载驱动，并可对所有IP包进行截取，并得到数据包的以太帧数，安全性较高，且不易被木马侵染。防火墙系统整体结构包括虚拟设备驱动模块、数据包过滤模块、内容过滤模块、数据流量监控模块、系统监控模块、冲突检测模块，各模块相互独立存在，但彼此间又有联系 3.2 各子模块功能分析 3.2.1 虚拟设备驱动模块 该模快主要由NDIS HOOK及PackageDriver组成，在底层与上层之间发挥了连接作用，可将服务函数集提供给上层服务。其中NDIS HOOK承载了接口作用，它从内存中获得基地址，并可对具有特定功能的封包、发包函数等进行注册，还可对库中的函数进行替换。另外，该模块可获取进程信息，并对协议驱动程序进行初始化处理 3.2.2 内容过滤模块 顾名思义，该模块可对应用层内容进行检测，并将含有非法关键字的数据包进行过滤。通常情况下，内容过滤主要是根据事先预定的过滤条件对信息流进行筛选，本质上属于一种安全机制。具体流程如下：信息数据流入→初始化协议栈缓冲区→加载相关程序并获取SPI地址→获取缓冲区数据→数据包解析→根据过滤规则对数据内容进行过滤 3.2.3 数据包过滤模块 数据包过滤是防火墙最主要的过滤方式，其单位为数据包。数据包过滤模块通过分析IP包头、应用层包头及TCP包头来完成过滤机制。同时，用户可将自定义安全规则置于防火墙规则表中。在实际过滤过程中，会按照规则表的顺序对数据进行检测。若未发现相适应或相契合的规则，则会执行缺省规则 3.2.4 流量监控模块