第四章 个人防火墙系统设计与实现
4.1 开发环境
操作系统:Windows 7
开发工具:Visual Studio 2010
4.2 防火墙系统设计架构
4.2.1 防火墙系统总体结构
PSFW 个人防火墙分为三个模块(总体模块划分见表 4.1):
(a)PSFW IO CONTROL 为动态链接库模块和可执行程序模块之间的接口;DEVICEIO CONTROL 为可执行程序和 驱动开发模块之间的接口。
(b)SPI HOOK 是 动态链接库的模块,使用 SOCKET 函数进行网络通信,应用程序的过滤使用的是 SPI 钩子函数。
(c)NDIS HOOK 网络驱动钩子函数,应用程序、动态链接库和驱动程序进行网络通信都将通过 NDIS 网络驱动钩子函数过滤。
(1)PSFW.SYS
PSFW.SYS 模块是驱动程序的开发,运行于内核模式下。HOOK NDIS 函数库中自定义函数,截获所有的网络连接。把这些连接数据包发送给过滤函数,然后再根据预先设定的规则进行数据包的过滤和筛选,同时将生成的相关日志记录发送到上层模块。PSFW.SYS采用WDF(Windows Driver Foundation)开发驱动程序。
(2)PSFW.DLL
PSFW.DLL 位于分层服务提供商(又称 LSP),能够截获采用 Winsock2 的所有网络通讯,是出于应用层的动态链接库。拦截到网络通讯,并根据设定的过滤规则进行过滤,选择性的通过一些连接请求,对于一些连接直接拒绝,同时产生的日志记录发送给上层模块。该模块以 VS 2010 开发工具的 MFC 动态链接库开发实现。
(3)PSFW.EXE.
PSFW.EXE 是个人防火墙的可执行程序,可以为用户提供接口,属于上层模块。在PSFW.EXE 模块设置过滤规则,而这些过滤规则的具体执行要在动态链接库和驱动开发这两个模块的配合下实现,一条过滤规则从设置到发挥重要作用需要这三个模块之间密切配合。
4.2.2 防火墙系统二级模块结构
(1) 二级模块结构:PSFW.EXE
(2)二级模块结构:PSFW.SYS
(3)二级模块结构:PSFW.DLL
4.3 防火墙系统的详细设计
4.3.1 系统功能需求
在Windows下设计与实现PSFW个人防火墙系统。采用内核态网络驱动程序NDIS HOOK和用户态 Winsock SPI 相结合的过滤技术实现 PSFW 个人防火墙核心技术。NDIS HOOK 过滤技术实际上就是利用 HOOK 技术,修改底层函数的入口地址,截取过滤数据包发送给特定函数,根据编写的过滤规则进行过滤。个人防火墙对进出本机的数据包进行监控、过滤,对于电脑病毒、垃圾邮件等攻击提前阻止进入,达到保护主机安全的目的。本文设计的 PSFW 个人防火墙主要完成的功能包括:封包采集与解析、控管规则设置、日志查询、状态指示。拥有这些功能的防火墙对个人计算机使用非常合适。
4.3.2 过滤防火墙系统流程图
4.3.3 系统功能设计
PSFW 个人防火墙所要完成的功能主要是以下几点:
(1)网络监控室主要是实现多种封包(如应用程序、网上邻居、ICMP、侦听端口、当前连线等)的采集和解析,并与设置的控管过滤规则进行比较。网络通信数据都会被分割成若干个具有一定长度的信息包,因为数据包过长没有办法发送,所以,有时可能一个长数据包会被分割成几个数据包来进行发送和传递。数据包的头部会包括源 IP 地址、目标 IP 地址、通信协议类型(TCP、UDP、ICMP 等)信息、TCP/UDP 目的端口、ICMP 消息类型等诸多信息。
个人防火墙通过检査截获而来的数据包中的头部信息,并根据预先设定的过滤规则对数据包来进行过滤。若某个主机或网站被个人防火墙判定其地址为危险地址,则该地址再次发送的所有数据包都将会被防火墙直接屏蔽掉,不能够发送任何信息给本机。因此,Windows 操作系统下的网络数据包过滤技术是个人防火墙的核心技术。
(2)管控中心主要是添加、修改、删除过滤规则,可以针对那些有风险的应用程序、网站的设置规则来禁止访问,对比较安全的应用允许访问本地主机和本地主机访问这个站点和使用这个应用。
(3)日志主要是记录访问本机和本机访问的程序、站点,对于在日志查询中显示的有风险、危害的程序和站点,可以通过设置规则禁止访问,以达到保护主机和网络的效果。
(4)状态指示是通过一个曲线图直观的显示进流量、出流量、拒绝封包、放行封包、安全等级和工作模式等,实时监控网络数据包发送和接收情况。
