基于封包截獲技術的個人防火墻的研究與實現.pdf

1、目前市場上大多數的防火墻產品雖然功能強大，但有一個致命缺點：防外不防內。因為它們基于下述假設：內部網是安全的，所有威脅來自網外。所以難以實現對企業(yè)內部局域網主機之間的安全通信，也不能很好的解決每一個撥號上網用戶所在主機的安全問題。而大多數個人上網之時，并沒有真正處于得到防護的安全網絡中。個人上網用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是Win9x系統(tǒng)，本身的安全性就不高。各種Windows漏洞不斷被公布，對主機的

2、攻擊也越來越多。因此，為了保護主機的安全通信，研制有效的個人防火墻很有必要?！　”疚闹饕獢⑹隽嘶赪indows2000操作系統(tǒng)、DDKforWindows2000工具開發(fā)包及VisualC++6.0平臺下的個人防火墻系統(tǒng)的設計及具體實現。本人通過參考目前市場上多種個人防火墻的設計方案，并且分析比較各個方案的優(yōu)缺點，結合目前個人防火墻技術的發(fā)展趨勢，提出了一種基于內核模式和用戶模式的雙重過濾設計方案，并加以實現。在內核模式下利用TDI

3、虛擬驅動接口掛接技術實現對通過傳輸層的原始數據封包進行截獲，并且通過訪問控管規(guī)則完成對數據封包的過濾。在應用模式下采用Winsock2SPI技術開發(fā)DLL程序實現對基于Socket網絡連接通信的服務截獲和過濾，從而克服了單方面從用戶模式或核心模式截獲數據包的缺點，極大提高了防火墻系統(tǒng)的截包及數據過濾能力。本人在程序設計實現過程中采用模塊化、結構化的軟件設計思想，提高了系統(tǒng)的可移植性及靈活性?？傮w上說，該系統(tǒng)可以劃分為以下三個模塊：核心層

4、的過濾驅動程序、用戶模式下的封包截獲程序及系統(tǒng)用戶界面程序。過濾驅動模塊采用虛擬驅動過濾技術和IRP分層技術；封包截獲模塊采用Winsock2SPI技術、Winsock2API技術及注冊表技術；系統(tǒng)用戶界面模塊主要采用VisualC++6.0MFC類庫和WinsockAPI技術。這三個模塊之間通過內存共享技術來完成對控管規(guī)則、封包數據、網上鄰居名字列表等數據的讀寫操作，從而很方便的根據控管規(guī)則實現對網絡封包的認證操作，提高了系統(tǒng)的過濾效