返回
基于windows内核态个人防火墙的设计与实现

基于windows内核态个人防火墙的设计与实现

ID:15494807

大小:43.00 KB

页数:8页

时间:2018-08-03

基于windows内核态个人防火墙的设计与实现_第1页
基于windows内核态个人防火墙的设计与实现_第2页
基于windows内核态个人防火墙的设计与实现_第3页
基于windows内核态个人防火墙的设计与实现_第4页
基于windows内核态个人防火墙的设计与实现_第5页
资源描述:

《基于windows内核态个人防火墙的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于Windows内核态个人防火墙的设计与实现摘要:为了提高防火墙对非法数据包的拦截能力,增强windows主机上网的安全性,设计并实现了一个基于windows内核态的个人防火墙。它由应用程序和驱动程序2部分组成,其中应用程序负责对数据包进行实时监控以及安全规则实现,并向用户报告防火墙的运行状态或安全事件;基于ndis中间层驱动程序对数据包进行拦截,采用设备输入和输出控制(ioctl)方法实现内核态进程与用户态进程间的通信。测试结果表明,该防火墙能在windows平台下稳定运行,能够有效拦截非法数据包。关键词:防火墙;ndis;中间层驱动

2、;passthru;进程间通信 引言防火墙在网络安全防护中具有重要作用,从应用的角度来看,防火墙可以分为企业级防火墙和个人防火墙[1]。前者主要是部署在内、外部网络的边界,对内、外部网络实施隔离,从而保护内部网络的安全:而后者则通过纯软件的方式来实现,安装在个人电脑中,通过对网络数据包拦截、规则的设置和匹配及对网络行为的处理(允许或禁止)来达到保护网络安全的目的。目前,windows操作系统已广泛应用在个人电脑中,基于windwos的个人防火墙技术已经相对成熟,市场上各类产品也很多,国外较署名的产品有:kasperskyantihack

3、er,mcafree,nortonpersonalfirewall,zonealarmpro和outpostfirewallpro等,国内产品中常见的有天网、金山和瑞星等。这些个人防火墙的核心区别在于windows环境下网络数据包拦截方法,通常数据包的拦截可以在windows用户态和核心态进行,在用户态采用winsock2spi拦截http,ftp,telnet和pop3等应用层协议网络数据包,这种方法效率较高,容易进行数据包内容过滤,但它只能在winsock层次上拦截网络数据包,拦截能力较弱;与用户态相比,在内核态的数据包拦截能力更强,

4、主要的方法有[2]:基于tdi传输驱动程序(transportdriversinterface)、基于ndis钩子驱动(ndishookdriver)和基于ndis中间层驱动[3]等。由于tdi只实现了ip,tcp,udp等协议,对底层协议的数据包也无能为力;ndis钩子通过向ndis.sys注册一个假协议,然后利用接收数据的派遣函数的地址进行挂接后实现数据包拦截,但这种技术对平台的依赖性比较大,需要针对不同的系统平台采用不同的结构。而ndis中间层驱动位于协议驱动层和小端口驱动之间,它能够截获所有的网络数据包。虽然该方法在技术实现上较为

5、复杂,目前的个人防火墙产品仍然较少采用。但是,由于其功能强大,过滤效率高,它依然是未来个人防火墙发展趋势。本文深入研究基于ndis中间层驱动的数据包拦截方法以及windows内核态驱动程序与用户态应用程序间的通信机制,设计并实现了一种基于windows内核态的个人防火墙系统,它由应用程序和驱动程序2部分构成,其中,驱动程序负责对非法数据包进行拦截过滤;应用程序负责对数据包进行实时监控,并向用户报告检测结果。1windows个人防火墙系统结构1.1系统结构该防火墙由运行于用户态的应用程序和运行于核心态的驱动过滤2部分构成,两者之间采用共享内

6、存的方式进行通信,具有arp欺骗攻击检测与防御、检测与防御dns欺骗和检测网页木马等功能。其系统结构如图1所示,用户态的应用程序通过监控并分析进出网卡接口的数据包,以决定是否将该数据包的发送者列入黑名单并向用户报告。此外,应用程序还是防火墙的gui部分,负责向用户实时报告结果,提供过滤规则参数设置界面。图1windows个人防火墙系统结构1.2功能描述本防火墙实现以下基本功能:(1)能对arp攻击、dns欺骗和常见的网页木马进行检测和抵御,发现非授权的请求后应能立即拒绝,随时保护上网主机的安全。(2)提供一系列安全规则设置,允许或禁止特定

7、主机的相关服务,用户可根据实际情况修改安全规则或建立黑名单。驱动程序根据安全规则及黑名单进行数据包过滤。(3)将所有被拦截的访问记录的详细信息写入日志,供用户查询或追踪攻击源。2windows个人防火墙的关键技术实现2.1驱动程序设计ndis中间层过滤驱动(ndisintermediatedriver)位于网卡驱动和协议驱动之间[4],其2个接口:miniport接口和protocol接口,所有网络数据包均流经ndis中间层。passthru[5]是microsoft公司在windowsddk[6]中提供的一个nids中间层驱动的开发框架

8、,本防火墙的驱动部分就是在该框架的基础上实现的,其主要的作用是根据已定的规则和黑名单对非法数据进行过滤。2.1.1数据包的获取非法数据包的过滤是在驱动程序中实现的。在passthru中负责接收

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。