◆李冬芬 于北瑜 肖 敏

?

基于Windows的包過濾防火墻的設(shè)計與實現(xiàn)

◆李冬芬 于北瑜 肖 敏

（廣東海洋大學(xué)數(shù)學(xué)與計算機學(xué)院 廣東 524088）

本文采用VS2010和VC ++6.0開發(fā)，利用IP過濾鉤子驅(qū)動程序的設(shè)計和實現(xiàn)技術(shù)，實現(xiàn)了基于Windows系統(tǒng)下的包過濾防火墻。試驗結(jié)果表明，該技術(shù)可靠、穩(wěn)定，具有一定的實用性。

包過濾防火墻；Windows；網(wǎng)絡(luò)安全

0 引言

互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，將全世界的人聯(lián)系在一起，促進了信息交流和共享。但是互聯(lián)網(wǎng)也是一把雙刃劍，互聯(lián)網(wǎng)信息安全問題日益突出。隨著大數(shù)據(jù)時代的來臨，人們的日常生活、工作、學(xué)習(xí)越來越離不開網(wǎng)絡(luò)，大量的個人信息暴露在互聯(lián)開放的網(wǎng)絡(luò)中，每天都發(fā)生無數(shù)起網(wǎng)絡(luò)安全事件。2016年公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門共偵破侵犯公民個人信息犯罪案件1800余起，查獲各類公民個人信息300余億條[1]。黨的十八大以來，以習(xí)近平同志為核心的黨中央站在戰(zhàn)略高度與長遠角度，將網(wǎng)絡(luò)安全和信息化工作提升到前所未有的高度。

防火墻系統(tǒng)是目前使用最多的一種網(wǎng)絡(luò)安全防護技術(shù)，通過在用戶的內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)一道防火墻系統(tǒng)，保障內(nèi)網(wǎng)用戶的信息安全，阻止黑客的非法入侵[2]。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層以及傳輸層[3]，在網(wǎng)絡(luò)層中根據(jù)用戶設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定允許或禁止該數(shù)據(jù)包通過防火墻[4]。因此包過濾型防火墻處理數(shù)據(jù)包的速度快，并且容易配置，實現(xiàn)成本低。本文探討基于Windows的包過濾防火墻的設(shè)計與實現(xiàn)。

1 功能結(jié)構(gòu)

本設(shè)計采用VS2010和VC ++6.0開發(fā)，利用IP過濾鉤子驅(qū)動程序的設(shè)計和實現(xiàn)技術(shù)，開發(fā)了基于Windows操作系統(tǒng)的簡單包過濾型防火墻，該防火墻能夠按照用戶設(shè)置的過濾規(guī)則對網(wǎng)絡(luò)的IP數(shù)據(jù)包進行處理。該防火墻功能主要包括以下幾個方面：

（1）用戶設(shè)置過濾規(guī)則：設(shè)置源IP地址、目標(biāo)IP地址、端口號、協(xié)議；

（2）過濾規(guī)則的添加、刪除和保存；

（3）過濾規(guī)則的安裝和卸載。

（4）IP封包過濾驅(qū)動。

具體的功能結(jié)構(gòu)如圖1所示。

2詳細設(shè)計

2.1 過濾規(guī)則設(shè)置功能模塊

包過濾防火墻根據(jù)用戶設(shè)定的過濾規(guī)則檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等）確定是否允許該數(shù)據(jù)包通過防火墻[4]。所以在設(shè)置過濾規(guī)則時，需要設(shè)置源IP地址、目標(biāo)IP地址、端口、協(xié)議和動作。其設(shè)置規(guī)則的界面如圖2所示。

圖1 系統(tǒng)功能結(jié)構(gòu)

圖2用戶設(shè)置過濾規(guī)則界面圖

2.2過濾規(guī)則添加刪除和存儲功能模塊

在該功能模塊中，用戶能添加、刪除和保存過濾規(guī)則。

2.2.1添加過濾規(guī)則

添加規(guī)則時，用戶在取得添加規(guī)則對話框中的數(shù)據(jù)后，判斷格式是否匹配，若否則要輸入正確的規(guī)則，才能將取得的數(shù)據(jù)添加到文檔類中。

2.2.2刪除過濾規(guī)則

刪除規(guī)則時，用戶先選定規(guī)則，然后判斷規(guī)則是否正在過濾，若是則要先停止過濾，才能刪除規(guī)則。當(dāng)用戶刪除規(guī)則后，此規(guī)則就從文檔類中刪除，同時視圖類需要更新顯示。

2.2.3過濾規(guī)則存儲

在該功能模塊中，用戶可以及時存儲添加的過濾規(guī)則及對每一個規(guī)則的操作。下次打開防火墻可以直接加載該規(guī)則，無需手動輸入那些常用的過濾規(guī)則。

2.3過濾規(guī)則安裝卸載功能模塊

按照用戶設(shè)定的規(guī)則，IP過濾驅(qū)動進行數(shù)據(jù)包的過濾。用戶對已存儲的規(guī)則先進行安裝，才能將規(guī)則發(fā)給IP過濾驅(qū)動，安裝功能就是將過濾規(guī)則傳給IP過濾驅(qū)動。如果用戶要刪除過濾規(guī)則時，就要先停止過濾，然后卸載該規(guī)則，最后才能刪除，卸載功能就是將已安裝的規(guī)則從過濾驅(qū)動中刪除。

2.4 IP封包過濾驅(qū)動功能模塊

該功能模塊用DrvFltIp驅(qū)動程序分別對數(shù)據(jù)包和TCP數(shù)據(jù)包，以及UDP數(shù)據(jù)包進行封包，由IP過濾鉤子處理進出的封包。

3 測試使用

測試計算機位于網(wǎng)關(guān)地址為192.168.0.1的局域網(wǎng)內(nèi)，本地IP地址為：192.168.0.99。通過局域網(wǎng)連接外部網(wǎng)絡(luò)，可以PING通本地網(wǎng)關(guān)地址192.168.0.1和電信DNS服務(wù)器地址218.85.152.99，如圖3和圖4所示。

圖3 ping192.168.0.1圖

圖4 ping218.85.152.99圖

運行防火墻，點擊“Add Rule”按鈕進行過濾規(guī)則設(shè)置，如圖5所示。

Source IP Address：192.168.0.1

Destination IP Address：192.168.0.99

Port：0

Protoco：ICMP

Action：Drop（丟棄）

圖5添加規(guī)則界面

點擊“A？adir”按鈕將規(guī)則保存到防火墻，如圖6所示。

圖6規(guī)則保存到防火墻

點擊“Install”防火墻將過濾規(guī)則傳遞給過濾驅(qū)動，點擊“Star”防火墻開始過濾數(shù)據(jù)包，如圖7所示。

圖7開始過濾數(shù)據(jù)包

測試計算機可以和本地網(wǎng)關(guān)（路由器）及電信DNS服務(wù)器進行ICMP數(shù)據(jù)包收發(fā)。若用戶在防火墻上設(shè)置過濾源IP地址為192.168.0.1、協(xié)議為ICMP的規(guī)則之后，再次運行該防火墻，測試計算機和本地網(wǎng)關(guān)（路由器）不能進行數(shù)據(jù)包收發(fā)，在連接時命令顯示為“Request timed out”（如圖8所示）。但是測試計算機還能和電信DNS服務(wù)器218.85.152.99進行數(shù)據(jù)收發(fā)（如圖9所示）。

圖8 ping192.168.0.1圖

4結(jié)束語

本設(shè)計主要功能建立在驅(qū)動及鉤子機制上，不僅提高了程序工作效率，也使程序覆蓋面更加廣，泛用性更高，而且使用過程中，對用戶來說也將更加安全和穩(wěn)定。

圖9ping218.85.152.99圖

[1]中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室. 公安部: 嚴(yán)打侵犯公民個人信息犯罪[EB/OL]. http://www.cac.gov.cn/2016-12/18/c_1120138724.htm,2016-12-18.

[2]蒙磊，李雙虎，楊海艷. 基于freebsd包過濾防火墻的設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，(10):70,72.

[3]楊秋. 基于Windows的個人防火墻的設(shè)計與實現(xiàn)[D].大連：大連理工大學(xué)，2013．

[4]冷繼兵. 基于主動防御的校園網(wǎng)研究與實現(xiàn)[D].西安：西安電子科技大學(xué)，2009