當前位置:計算機論文網 >> 其他設計 >> 浏覽文章 .
031224_簡易Windows防火牆的設計與實現
.
簡易Windows防火牆的設計與實現
摘 要
當今時代是飛速發展的信息時代,計算機與信息處理技術日漸成熟。隨著Internet和計算機網絡技術的蓬勃發展,網絡安全問題現在已經得到普遍重視。網絡防火牆系統就是網絡安全技術在實際中的應用之一。本設計實現的防火牆采用IP過濾鉤子驅動技術,過濾鉤子驅動是內核模式驅動,它實現一個鉤子過濾回調函數,並用系統提供的IP過濾驅動注冊它,IP過濾驅動隨後使用這個過濾鉤子來決定如何處理進出系統的數據包。本防火牆由以下幾個模塊組成:過濾規則添加模塊,過濾規則顯示模塊,過濾規則存儲模塊,文件儲存模塊,安裝卸載規則模塊,IP封包過濾驅動功能模塊。用戶只需要通過主界面菜單和按鈕就可以靈活地操作防火牆,有效地保護Windows系統的安全。 .
關鍵詞:防火牆;過濾鉤子;過濾驅動;包過濾 .
2.2 防火牆的基本策略
按照美國國家計算機安全協會(NCSA)的建議,制定安全計劃必須包括服務訪問策略和防火牆設計策略。服務訪問策略應包括控制用戶對某些Internet服務的訪問。另外,用戶也需要限制訪問的方式,如PPP或SLIP。在建立服務訪問政策時,需要注意兩個方式:
1、不允許從Internet上訪問到用戶的網絡,但是允許個別用戶(設定得到)的網絡訪問有限Internet站點。但必須進行地址偽裝;
2、允許有限的從Internet上訪問到公司網絡,如從Internet上只能訪問公司的WWW和FTP服務器。
作為防火牆策略,就是定義實現服務訪問策略的具體規則。在實現防火牆策略時,用戶可以采用以下兩個原則之一:
1、除了允許的事件之外,拒絕其它的任何事件。
2、除了拒絕的事件之外,允許其它的任何事件。
制定的策略是由一條條規則構成的,防火牆的規則可分為三條鏈:輸入鏈、輸出鏈和轉發鏈。
2.3 包過濾防火牆
2.3.1 數據包
數據包是指IP網絡消息。IP標准定義了在網上兩台計算機之間發送的消息的結構.結構上,一個包包含了一個信息頭和應被傳送數據的一段消息體。Linux中包含的IP防火牆機制3種IP消息類型:ICMP(Internet控制消息協議)、UDP(用戶數據報協議)和 TCP(傳輸控制協議)。所有的IP包頭包含了源、目的IP地址、IP協議消息類型。包頭裡根據協議類型還包括了不同的字段。ICMP數據包包含了一個類型字段,用來標識控制或狀態消息類型。UDP和TCP包包含了源和目的服務端口號。 .
2.3.2 包過濾防火牆的工作原理
采用這種技術的防火牆產品,通過在網絡中的適當位置對數據包進行過濾,根據檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素,然後依據一組預定義的規則,以允許合乎邏輯的數據包通過防火牆進入到內部網絡,而將不合乎邏輯的數據包加以刪除。因為路由器通常分布在有不同安全需求和安全策略的網絡的交界處,因此可以通過在路由器上使用包過濾在可能的情況下實現只允許授權網絡的數據進入。在這些路由器上使用包過濾師一種比較經濟的在現有路由基礎結構上增加防火牆功能的機制。顧名思義,包過濾在路由過程中對指定包進行過濾(丟棄)。對過濾的判斷通常基於單個包的頭部所包含的內容(例如源地址,目的地址,協議,端口等)。
包過濾防火牆通常在操作系統內部實現,並且操作在IP網絡和傳輸協議層。它在對基於IP包頭信息實施過濾後,通過對包的路由作決策來保護系統。包過濾防火牆由一組接受或禁止規則列表組成。這些規則明確定義了哪個包將被允許或不允許通過網絡接口。防火牆規則使用在上面描述的包頭字段來決定是否允許路由一個包通過,以達到它的目的,或則無聲息的將包丟棄掉,或阻止包並向它的發送機器返回一個錯誤狀態。這些規則是基於特定的網絡接口卡和主機IP地址、網絡層源和目的IP地址、傳輸層TCP和UDP服務端口、TCP連接標志、網絡層ICMP消息類型及這些包是進入的還是發出的。 .