基于数据包过滤技术的防火墙模型设计
计算机光盘软件与应用
2010年第5期 Computer CD Software and Applications 软件设计开发
基于数据包过滤技术的防火墙模型设计
肖 瑜,吕定辉
(濮阳职业技术学院,河南濮阳 457000)
摘 要:本文分三部分介绍了个人防火墙系统模型的设计。第一部分介绍了数据包过滤模块的设计;第二部分进程管理模块实现了与Windows操作系统的任务管理器的“任务管理”部分的功能;第三部分端口扫描模块在Windows平台下使用套接口(SOCKET)技术实现了把本机作为客户端,把需要扫描的IP地址所在的机器作为服务器端端口扫描。
关键词:防火墙;套接口;内核;NDIS;过滤器
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 05-0145-01
Firewall Model Design against Data Package Filtering Technology
Xiao Yu,Lv Dinghui
(Puyang Vocational&Technical Institute,Puyang 457000,China)
Abstract:This three-part model describes the design of a personal firewall.The first part describes the design of packet filtering module;second part of the process management module with the Windows operating system Task Manager"Task Manager"section of the function;third part of the port scan module in the Windows platform using the socket(SOCKET)technology has put the machine as the client,need to scan the IP address of the host machine as the server-side port scan.
Keywords:Firewall;Socket;Kernel;NDIS;Filter
一、系统模块的划分 系统由数据包过滤模块、进程管理模块及IP地址扫描功能三大部分组成。过滤模块是本系统工作的基础,在设计阶段充分考虑了系统在实际应用中的实际应用情况,设计了过滤规则的添加、修改,过滤数据包的实时性等,并详细描述了过滤钩子驱动的实现。进程管理模块可以在本系统查看并结束相应非法进程。客户端使用套接口技术实现了端口扫描功能。三部分结合在一起组成了个人防火墙系统的完整功能。
二、过滤模块
(一)过滤模块的功能
内核中将操作系统的网络传输所有出入包,都流入到虚拟设备中,按照一定的规则进行处理数据包,即可完成数据包过滤功能。
程序的过滤模块主要应实现的功能包括:
添加过滤规则;删除过滤规则;保存过滤规则;加载过滤规则;卸载过滤规则;安装过滤规则;启动过滤;停止过滤。
本文采用过滤钩子技术获取数据包,因此应当首先加载过滤钩子驱动。
(二)过滤钩子驱动
NDIS(网络驱动程序接口)提供了一种通过建立过滤器钩子驱动过滤IP包的方法。具体步骤是:在过滤器钩子驱动中建立一个普通的设备,通过IOCTL_PF_SET_TENSION_POINTER操作
从而将其内核模式过滤钩子挂接到系统默认的IP过滤器驱动上,
在其过滤钩子中实现完整的基于数据包的各种分析和过滤处理。
其他的协议不会经过该过滤钩子进行该法仅能对IP包进行过滤,
处理。下面对该步骤予以详细说明。
1.过滤钩子驱动的创建
首先由过滤器钩子驱动程序设置过滤器钩子回调函数,它是这类驱动程序的主体,通过系统提供的IP过滤器驱动注册这些过滤器钩子回调函数。接着,IP过滤器驱动就可以使用过滤器钩子决定如何处理传入或传出的数据包。
当过滤器钩子驱动通过系统提供的IP过滤器驱动注册其过滤钩子(的入口点时,它给出了过滤器钩子的符号(可变)地址。由于过滤器驱动程序并不提供过滤器钩子入口点的名称,因此,开发人员可以自由选择过滤器钩子名称。一般地,应根据过滤器钩子函数的基本功能来命名[51]。
过滤器钩子对传入和传出的数据包做一些特殊处理。首先是把数据包的特定信息和IP过滤器驱动提供给过滤器钩子的信息加以比较,以此决定下一步如何处理数据包。其次,在过滤器钩
通知IP子检测完数据包后,向IP过滤器驱动回复三种响应代码,
过滤器驱动如何对数据包进行处理数据包。
2.初始化和卸载过滤器钩子驱动
像所有的内核模式驱动程序一样,过滤器钩子驱动程序为驱动对象创建和初始化一个设备对象例程是某个系统对外提供的功
能接口或服务的集合。通过IP过滤器驱动注册驱动的过滤器钩子。如果用户模式应用程序(非核心态工作模式)或高层驱动程序通过向下层过滤钩子驱动程序发送一个I/O控制请求设置过滤钩,则必须设置和输出一个控制设备的入口点。当操作系统卸载过滤器钩子驱动程序时,卸载例程将函数中已创建的设备对象移走,而不是清除先前已注册的过滤器钩子。
3.设置和清除过滤器钩子
过滤器钩子驱动程序设置了过滤器钩子回调函数,并通知IP过滤器驱动为每个传入或者传出的IP数据包调用这个钩子回调函数。过滤器钩子有可能清除先前注册的钩子回调。
4.过滤器钩子的I/O控制
当应用程序或者上层驱动程序通过向过滤器钩子驱动程序发送I/O控制请求建立过滤器钩子时,驱动程序自动会响应例程,例程处理发来的I/O控制请求。
三、进程管理模块
(一)进程管理模块的功能
程序的进程管理模块主要应实现的功能包括:
1.获取本机正在运行的系统进程的名称、ID号等,并显示在列表框中。
2.删除某个进程:指定需要删除的进程的唯一标志号进行删除。
(二)进程管理的实现 1.获取和显示系统进程
首先使用函数给当前系统内执行的进程拍快照(Snapshot),也就是获得一个进程列表,该列表中记录着进程的ID、进程对应的可执行文件的名称等数据。然后遍历快照中记录的列表。可显示每个进程的可执行文件名和进程ID号等。
2.删除系统进程
在对一个进程操作前,必须首先取得该进程的进程句柄。函数创建进程后会返回一个进程句柄,而对于一个已经存在的进程,只能使用固定函数来取得这个进程的访问权限,该函数打开一个存在的进程并返回其句柄。
四、基于套接口技术端口扫描模块的设计
端口扫描模块通过创建套接口、请求连接、套接口I/O状态查等一系列动作与其他IP地址建立连接。主要实现的功能为:对
单个IP地址的端口进行扫描;对IP段地址的特定端口进行扫描。
五、小结
本章描述了个人防火墙系统的设计模型。用户可以根据基于钩子过滤技术的数据包过滤模块获得的数据和IP过滤器驱动提供给过滤器钩子的信息加以比较,以此决定数据包被如何被处理。进程管理模块可以让用户更便捷的判断当前的进程是否合法,并决定是否继续或者中断当前进程。使用套接口技术来扫描当前与用户主机进行通信的IP地址,设计了端口扫功能,描在一定程度上起到了更加全面的保护作用。
— 145 —
相关文章
- 信息安全技术试题答案A
- 项目经理教育在线练习题(1203上传)
- Web主题网页内容安全监管研究
- 防火墙包过滤技术分析_赵辉期刊
- 网络安全知识题库中学组C
- 20**年11月电子商务设计师上午考试真题及答案
- 网络安全基础应用与标准_第四版思考题答案
- 20**年项目经理在线考试题库(考到的,非全库)(含答案)
- 构建企业信息安全保密技术防范体系
- 防火墙应用指导手册
信息安全技术教程习题及答案 第一章概述 一.判断题 1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑.√ 2.计算机场地可以选择在公共区域人流量比较大的地方.× 3.计算机场地可以选择在化工厂生产车间附近.× 4.计算机场地在正常 ...
课后练习 2010-信息系统工程监理 一.单选题(共5题) 第一章 单选 1.信息化工程监理实施的前提是(B ) A. 工程建设文件 B. 建设单位的委托和授权 C. 有关的建设工程合同 D. 工程监理企业的专业化 2.根据信息化工程进度控 ...
摘要网络安全审计以其实时性.动态性和主动防御的特点备受青睐.目前网络安全审计系统虽然成为网络安全领域的研究热点,但许多概念有待于进一步明确,许多关键技术尚处于研究探讨之中. 关键词Web;内容安全;内容过滤;信息审计 中图分类号TP31文献 ...
2010年第11期福建电脑 49 防火墙包过滤技术分析 赵 辉,冯东栋 (河南大学计算中心河南开封475004) [摘要]:在网络边界设置防火墙是进行网络防护的有效手段.本文首先介绍了防火墙及其功能,然后分析了防火墙所使用的最基本的技术手段 ...
江苏省青少年网络信息安全知识竞赛试题 (中学组C) 参赛须知: 一.答题方法:本卷共100题,每题有ABCD四个答案,其中只有一个正确答案,请在答题卡上将你认为正确的选项涂黑.答题卡不得涂改,复印无效.试卷满分100分,每题1分. 二.参赛 ...
全国计算机技术与软件专业技术资格(水平)考试 2012年下半年 电子商务设计师 上午试卷 (考试时间 09:00-11:30 共150分钟) 本试卷共有75空,每空1分,满分75分. 第1题 ●在文字处理软件Word的编辑状态下,将光标移至 ...
第一章 1. 什么是osi 安全体系结构? 为了有效评估某个机构的安全需求,并选择各种安全产品和策略,负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法,这一套系统体系架构便称为安全体系架构. 2. 被动和主动威胁 ...
2010年项目经理继续教育在线考试试题 (部分题目答案为个人答题,非标准,如有错误请谅解) 1. 如果在建设工程施工合同履行过程中,承包人提出了分包要求,则(C ) A. 只需经过发包人的书面同意即可: B. 只需经过监理机构的书面同意即可 ...
构建企业信息安全技术防范措施 杜洪伟 天津第七市政公路工程有限公司,天津(300113) 摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛.计算机网络面临着信息泄露.黑客攻击.病毒感染等多种威胁, 信息安全保密工作面临着严峻挑.本文 ...
防火墙应用指导手册 防火墙应用指导手册 防火墙是为防止非法访问或保护专用网络而设计的一种系统.防火墙可用于硬件.软 件或二者的组合.防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络. 本文将从防火墙的简介.种类.选择的方法.配置 ...