基于Windows构架网络数据包拦截技术个人防火墙设计与实现.docVIP

基于Windows构架网络数据包拦截技术个人防火墙设计与实现 　　摘 要：文章介绍了一款基于Windows构架采取应用层进行网络数据的拦截的Winsock 2 SPI编程技术，适用于个人的防火墙。该防火墙具有小巧方便，操作简洁，功能齐备，完全满足个人防火墙要求。 　　关键词：Windows构架；防火墙；网络封包拦截技术 　　引言 　　随着网络技术的迅速发展，网络安全问题日益突出，个人防火墙得到广泛应用。文章通过介绍防火墙的发展、防火墙种类及Windows构架下个人防火墙技术，提出了基于Windows构架网络数据包拦截的个人防火墙设计。 　　1 防火墙介绍 　　1.1 防火墙的发展 　　防火墙是实现内外网络的隔离，以保护内网免受外部网络的非法入侵而造成损害。防火墙发展共经历了四个阶段： 　　第一个阶段：静态包过滤防火墙。采用包过滤技术，网络访问和数据过滤完全依赖于路由器，且过滤规则完全由路由器提供。这类防火墙处理快速，但过滤规则简单不能够拦截到较低层的数据，但实现了数据包过滤[1]。 　　第二个阶段：防火墙用户化，提供给用户可实现数据过滤功能的套件。相比第一代防火墙，它是工作在电路层的防火墙，仍采用包过滤技术。用户需要做系统的配置，对用户提出较高的要求[2]。 　　第三个阶段：应用层防火墙，采用纯软件的方式实现，安全性大有提高。它提供了很好的操作界面，不需要用户进行复杂的系统配置，因此这类防火墙深受用户喜欢[3]。 　　第四个阶段：具有安全操作系统的防火墙，防火墙本身就具有自己的操作系统，尽管它的核心技术仍然是数据包过滤技术，但是它采用自适应的代理技术，使防火墙有一定的自我适应能力，在安全性上较前面各阶段的防火墙有了进一层的突破[4]。 　　防火墙的四个发展阶段从本质上讲就是静态包过滤和动态包过滤两个主要阶段。 　　1.2 防火墙种类 　　防火墙为实现对内部网络的保护，工作在以太网与内部网之间，通过过滤和阻挡有害的网络数据，进而保护内部网络免损害。 　　从技术上运用上防火墙可分为包过滤技术、应用代理网关技术及状态检测技术三类[1]，下面分别介绍这三类防火墙技术： 　　1.2.1 包过滤技术 　　第一、二代防火墙均采用这种技术，核心在于对数据包的处理分析以及应用程序处理规则的设置。工作时将网络数据包进行拦截后与静态的安全规则进行对比分析，判断是否应该对此程序或数据包放行。 　　1.2.2 应用代理网关技术 　　防火墙将内网与Internet直接通信桥梁彻底隔断。只要设置好过滤规则，危险的数据包是不可能传到内网中去。此类防火墙需用户进行系统配置，且其安全策略的设置相当繁琐，处理速度较慢。 　　1.2.3 状态检测技术 　　状态检测技术采用对数据包动态的过滤完成对传输层数据通信的控制。传输的所有数据包，先按照静态规则进行比对分析，如放行，防火墙仍保持对数据包跟踪，此后如发现数据包内容与之前拦截数据包记录的状态表内容不一致时，系统自动将这个数据包丢弃。此类技术实现对数据包全程跟踪，多次安全考核。较前面两种应用范围更广，但存在处理较慢的毛病。 　　2 Windows个人防火墙及与网络封包拦截 　　2.1 Windows个人防火墙简介 　　Windows个人防火墙是根据Windows网络协议架构，通过在操作系统中插入Hook程序的方式，对所有网络通信的数据进行检查分析，并将危险的信息过滤掉。Windows个人防火墙的由防火墙进程、驱动程序和过滤规则集组成。驱动程序是防火墙核心，实现对网络数据的拦截、分析及应用程序的询问等工作；过滤规则集则定义一些安全规则，实现数据包过滤放行与否的原则[3]。 　　2.2 WINDOWS网络封包拦截技术 　　网络封包拦截技术是Windows构架系统的个人防火墙的技术核心。WINDOWS系统构架下数据拦截只能在应用层和核心层上进行。应用层网络封包拦截有基于Winsock 2 SPI技术，核心层网络封包拦截有基于NDIS中间层驱动程序、基于NDIS-HOOK钩子驱动和基于TDI过滤驱动程序。下面对这四种采取不同技术的防火墙作比较： 　　2.2.1 基于Winsock2SPI技术：SPI技术程序能够获得Winsock进程通信的详情，通过嵌入自己的处理函数来完成数据流加密等用户程序自定义的处理，但由于SPI仅实现对基于Winsock的数据包进行拦截，对传输层的通信数据包无能为力无法拦截TCP/IP数据包，因而有一定的局限性。 　　2.2.2 基于TDI过滤驱动程序：通过TDI接口数据封包拦截，同时拦截应用程序通信交互的接口中所要发送的通信数据包。对通讯数据包的分析，可以防止不明应用程序对本机的攻击。但系统中TDI接口位于第四层，对网络层的数据通信无法实现拦截。