个人防火墙系统的设计与实现
严鹏曾文方于小红(成都四川大学计算机学院610065)
摘要:本文根据现在市场上常见的防火墙存在的“只防外不防内”的缺点,提
出了一种新型的防火墙设计方案来保护桌面操作系统。以弥补常见防火墙存在的上
述缺点。使企业内部局域网的主机间网络通信更加安全、可靠。
关键词:T℃P/IP防火墙NdisVxd
1实现个人防火墙系统的必要性
随着计算机网络技术的迅猛发展和IIltemet在全世界范围内的日益普及,以及许多新的网络服务的出现,计算机网络安全问题变得越来越严重。为此,对于网络安全方面的研究也越来越多,主要包括数据加密和防火墙技术的研究。其中,防火墙产品的研制和实现是一个热点。但市场上大多数的防火墙产品仅仅是网关型的,如check-point公司的FirewalLl和Sunmicrosystem公司的Sunscreen,这些产品主要解决企业内部与Intemet互连方面的安全问题。虽然它们的功能相当强大,但由于它们基于下述假设:内部网是安全可靠的,所有的威胁都来自网外。因此,它们只“防外不防内”,难以实现对企业内部局域网内的主机之间的安全通信,也不能很好的解决每个拨号上网用户所在主机的安全问题。
目前,对主机的攻击越来越多。一般都是利用操作系统设计的安全漏洞或者通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗;对主机大量发送IP数据包来对主机进行轰炸攻击,以达到使主机崩溃的目的;还有经常出现的蓝屏攻击等。
因此,为了保护主机的安全通信,在主机上安装个人防火墙系统很有必要。整自己的过滤规则,更好的对主机通信进行控制。
3个人防火墙系统的设计与实现
3.1利用NDIS技术和虚拟设备驱动(VxD)技术实现包过滤
NDIs(NetworkDeviceIIlterfaceSpecification)是一个网络接口规范。它位于Nic和数据链路层之间。防火墙通过NdisAPI函数来访问Nic,在Nic和网络层协议之间起到桥梁作用。其网络接口如图1所示。
2个人防火墙系统的功能要求
个人防火墙系统主要目的是保护主机的安全通信。
因此,个人防火墙系统应该能对进出主机的数据包依据数
据包的源IP地址、目的IP地址、源端口号、目的端口号
等,根据用户定义的过滤规则对数据包进行过滤,还可以
对数据进行加密,完整性检查,身份认证。在必要时,还
可以对发生的事件进行日志记录,以便用户能根据记录调
盆函图1
图2 万方数据