利用包過濾技術實現個人防火墻

　　隨著網絡的迅速發展,各種各樣的網絡軟件也隨之出現,人們的生活和學習對網絡的依賴也越來越多,但問題也接踵而來,網站被攻擊,病毒泛濫,個人信息被竊取,使人們面臨這樣一個問題:網絡是否安全?

　　而防火墻正是網絡的保護傘,形形色色的防火墻很多,本文通過介紹包過濾技術實現個人防火墻,使大家對防火墻的知識有進一步的了解。

　　一、防火墻和包過濾技術簡介

　　防火墻是一種用于在兩個網絡間進行訪問控制的設備,防火墻系統防范的對象是來自被保護的網絡的外部的對網絡安全的威脅,它通過檢測、限制、更改跨越防火墻的數據流,盡可能的實現對外部網絡的安全保護。

　　而包過濾技術是防火墻 基本的實現技術,具有包過濾技術的裝置是用來控制內、外網絡數據流入和流出,包過濾技術的數據包大部分是基于TCP/IP協議平臺的,對數據流的每個包進行檢查,根據數據報的源地址、目的地址、TCP和IP的端口號,以及TCP的其他狀態來確定是否允許數據包通過。

　　二、截獲網絡封裝包

　　截獲數據包是實現一個防火墻的第一步，截獲數據包的方法有很多種,既可以在用戶態下攔截網絡數據包,又可以在核心狀態下進行數據包截獲。

　　在用戶態下進行網絡數據包攔截有以下幾種方法：

　　（1）Winsock Layered Service Provider (LSP)。

　　（2）Windows 2000 包過濾接口。

　　（3）替換系統自帶的WINSOCK動態連接庫。

　　很顯然，在用戶態下可以很簡單的進行數據包攔截,但其 致命的缺點就是只能在Winsock層次上進行，而對于網絡協議棧中底層協議的數據包無法進行處理。對于一些木馬和病毒來說很容易避開這個層次的防火墻。

　　因此大多數的個人防火墻選擇利用網絡驅動程序來實現的。例如用中間層驅動程序來截獲數據包。

　　中間層驅動介于協議層驅動和小端口驅動之間，它能夠截獲所有的網絡數據包（如果是以太網那就是以太幀）。NDIS中間層驅動的應用很廣泛，不僅僅是個人防火墻，還可以用來實現VPN，NAT，PPPOverEthernet以及VLan。中間層驅動的概念是在Window NT SP4之后才有的，因此對于Windows9x來說無法直接利用中間層驅動的功能。Windows DDK提供了兩個著名的中間層驅動例子：Passthru以及Mux。開發人員可以在Passthru的基礎上進行開發，Mux則實現了VLan功能。目前個人防火墻的產品還很少用到這種技術，主要的原因在于中間層驅動的安裝過于復雜，尤其是在Windows NT下。Windows 2000下可以通過程序實現自動安裝，但是如果驅動沒有經過數字簽名的話，系統會提示用戶是否繼續安裝。中層層驅動功能強大，應該是今后個人防火墻技術的趨勢所在，特別是一些附加功能的實現。

圖1.NDIS驅動程序模型

三、驅動程序和應用程序間的通訊

　　當驅動程序截獲網絡數據包后,驅動程序要和應用程序進行通訊,通知應用程序對數據包進行判斷,如果符合過濾規則,則接受數據包,否則,則放棄該數據包,其步驟大致如下:

　　（1）應用程序創建一事件Event；

　　（2）應用程序通過CreateFile創建驅動程序實例；

　　（3）把該事件的句柄傳給驅動程序；

　　（4）驅動程序通過DeviceControl函數接受Event的句柄；

　　（5）應用程序通過DeviceIOControl函數傳遞控制驅動程序的消息；

　　（6）驅動程序通過Dispatch歷程得到應用程序傳來的消息,然后根據消息類型進行不同的服務；

　　（7）把結果數據放入共享內存區,設置Event事件通知應用程序所請求的事情已經辦完；

　　（8）應用程序通過WaitForSingleObject來獲知事件發生；

　　（9）應用程序在共享內存區獲得數據,并重置該事件。

圖2　 驅動程序與應用程序通訊模型

四、過濾規則設置

　　包過濾防火墻的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火墻的數據包的處理方法，

　　對于沒有明確定義的數據包，應該有一個缺省處理方法；過濾規則應易于理解，易于編輯修改；

　　同時應具備一致性檢測機制，防止沖突。IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，

　　如果IP頭中的協議字段表明封裝協議為ICMP、TCP或UDP，那么再根據ICMP頭信息(類型和代碼值)、

　　TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執行過濾，其他的還有MAC地址過濾。

　　應用層協議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態包過濾技術等。

　　在一般情況下,我們可以從以下幾個方面來進行訪問規則的設置：

　　（1）禁止一切源路由尋徑的IP包通過；

　　（2）IP包的源地址和目的地址；

　　（3）IP包中TCP與UDP的源端口和目的端口；

　　（4）運行協議；

　　（5）IP包的選擇。

動作 0 來頂一下 返回首頁 百度中找“利用包過濾技術實現個人防火墻”的內容 GOOGLE中找“利用包過濾技術實現個人防火墻”的內容 關鍵詞：利用包過濾技術實現個人防火墻 相關文章 › 利用包過濾技術實現個人防火墻... 相關推薦文章 熱門文章 新文章 關于收錄 - 廣告合作 - 友情連接 - 網站地圖 湘ICP備08002401號     Copyright © 2003-2008 Apx168.Com. All Rights Reserved . 主站蜘蛛池模板： 寂寞夜晚在线视频观看 | 免费一区二区三区久久 | 爱情岛论坛网亚洲品质 | YELLOW视频在线观看最新 | 欧美乱妇日本无乱码特黄大片 | 7723手机游戏破解版下载 | 亚洲精品青青草原avav久久qv | 妇少水多18P蜜泬17P亚洲乱 | 儿子日母亲B好爽 | 人妻中文字幕无码久久AV爆 | 亚洲国产精品热久久 | 色尼姑久久超碰在线 | 国产亚洲精品久久77777 | 成人无码国产AV免费看直播 | 久久婷婷国产五月综合色啪最新 | 黄页网站免费视频大全9 | 亚洲视频中文字幕在线观看 | 武汉美女洗澡 | 国产人妻XXXX精品HD电影 | 国产精品搬运 | 老太婆风流特黄一级 | 跳蛋按摩棒玉势PLAY高H | 野花视频在线观看免费 | 公交车被CAO到合不拢腿 | 亚洲成人免费在线观看 | brazzers欧美最新版视频 | 香蕉久久日日躁夜夜嗓 | 最新国产av.在线视频 | 湖南电台在线收听 | 精品久久久麻豆国产精品 | 青柠在线观看免费高清电视剧荣耀 | 精品国产品国语在线不卡 | 久久久中日AB精品综合 | 嫩草www视频在线观看高清 | 日日夜夜狠狠干 | 99久久精品免费国产一区二区三区 | 99精品热视频30在线热视频 | 人和拘一级毛片 | 538视频这里只有精品 | 久久国产精品久久国产精品 | 久久精品中文闷骚内射 |