李勇

（甘肅新網(wǎng)通科技信息有限公司 甘肅省蘭州市 730020）

近些年來，信息技術(shù)得到快速發(fā)展和普及的同時(shí)，計(jì)算機(jī)安全問題也在日益突出。在此背景下，如何保障計(jì)算機(jī)正常運(yùn)行的同時(shí)，提高系統(tǒng)安全性已經(jīng)成為當(dāng)前研究的重點(diǎn)內(nèi)容[1]。結(jié)合實(shí)際情況來看，雖然當(dāng)前市面上各類防火墻軟件相對(duì)較多，但大多數(shù)防火墻軟件優(yōu)先考慮系統(tǒng)檢測(cè)效率，而非保障系統(tǒng)安全。針對(duì)此種情況，本文將基于當(dāng)前市面上主流防火墻技術(shù)，提出一款分布式防火墻技術(shù)，從而對(duì)當(dāng)前防火墻技術(shù)進(jìn)行補(bǔ)充和完善。

1 系統(tǒng)需求分析

1.1 系統(tǒng)功能需求

分布式防火墻系統(tǒng)主要分為客戶端和服務(wù)端兩部分，其中服務(wù)端主要用戶向客戶端提供防火墻過濾規(guī)則，實(shí)現(xiàn)客戶端防火墻系統(tǒng)更新升級(jí)；客戶端主要用于對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)和過濾、應(yīng)用程序訪問網(wǎng)絡(luò)中的監(jiān)測(cè)及過濾，并從服務(wù)端獲取防火墻過濾規(guī)則。

1.1.1 客戶端功能需求

分布式防火墻系統(tǒng)的客戶端功能結(jié)構(gòu)如圖1所示。

圖1：分布式防火墻系統(tǒng)的客戶端功能結(jié)構(gòu)

（1）網(wǎng)絡(luò)過濾：分布式防火墻系統(tǒng)的核心功能，可以根據(jù)服務(wù)端提供的防火墻過濾規(guī)則進(jìn)行網(wǎng)絡(luò)訪問攔截和網(wǎng)絡(luò)事件過濾。其中應(yīng)用層過濾是指對(duì)符合防火墻過濾規(guī)則的網(wǎng)絡(luò)訪問進(jìn)行限制，并記錄系統(tǒng)日志，允許其他網(wǎng)絡(luò)訪問正常訪問等；協(xié)議級(jí)過濾式則是根據(jù)網(wǎng)絡(luò)協(xié)議過濾規(guī)則，自動(dòng)判斷TCP 數(shù)據(jù)包等網(wǎng)絡(luò)數(shù)據(jù)包是否可以通過防火墻，此過程中防火墻會(huì)對(duì)內(nèi)外兩方面數(shù)據(jù)包進(jìn)行監(jiān)測(cè)管理，并在發(fā)現(xiàn)符合過濾規(guī)則的內(nèi)容后記錄日志信息。

（2）規(guī)則管理：規(guī)則管理主要用于實(shí)現(xiàn)防火墻過濾規(guī)則的查詢、導(dǎo)入、導(dǎo)出及維護(hù)。其中規(guī)則查詢可以為用戶提供當(dāng)前過濾規(guī)則的全面查詢；規(guī)則導(dǎo)入可以從服務(wù)端中更新規(guī)則[2]；規(guī)則導(dǎo)出可以從系統(tǒng)數(shù)據(jù)庫(kù)中導(dǎo)出過濾規(guī)則，以此來為其他功能模塊提升過濾規(guī)則支持；規(guī)則維護(hù)可以為用戶提供規(guī)則的增、刪、改等功能。

（3）日志管理：日志管理主要用于日志的生成、查詢及維護(hù)。其中，日志生成主要用于記錄系統(tǒng)日志信息，此過程中涉及到應(yīng)用層過濾日志、協(xié)議級(jí)過濾日志兩部分內(nèi)容；日志查詢可以為用戶提供根據(jù)時(shí)間、應(yīng)用程序、網(wǎng)址、處理方式等分類方式的攔截日志查詢；日志維護(hù)可以為用戶提供日志清除等維護(hù)功能。

（4）報(bào)警管理：報(bào)警管理功能可以為系統(tǒng)提供消息提示、聲音報(bào)警、郵件報(bào)警等功能支持。其中消息提示可以根據(jù)規(guī)則管理中的報(bào)警條件，在發(fā)現(xiàn)出現(xiàn)符合報(bào)警條件情況時(shí)，會(huì)及時(shí)發(fā)出報(bào)警消息，并對(duì)觸發(fā)報(bào)警條件的行為條件的完整路徑、IP 地址以及處理方式進(jìn)行詳細(xì)記錄[3]；聲音報(bào)警通常伴隨消息報(bào)警一同進(jìn)行，可以及時(shí)通過用戶及時(shí)停止和處理危險(xiǎn)行為；郵件管理主要用于防火墻關(guān)閉后系統(tǒng)向用戶郵箱自動(dòng)發(fā)送郵件，并在其中向用戶匯報(bào)防火墻過濾情況。

（5）配置管理：配置管理主要包括查看狀態(tài)、狀態(tài)值以及系統(tǒng)配置等功能。其中查看狀態(tài)可以方便用戶實(shí)時(shí)查看防火墻工作狀態(tài)信息，其中涉及的信息包括防火墻啟動(dòng)狀態(tài)、本次啟動(dòng)中攔截?cái)?shù)量等；狀態(tài)控制則可以為用戶提供啟停防火墻過濾功能支持；系統(tǒng)配置可以管理防火墻及各類應(yīng)用是否在計(jì)算機(jī)啟動(dòng)時(shí)自啟動(dòng)。

1.1.2 服務(wù)端功能需求

分布式防火墻系統(tǒng)的服務(wù)端功能結(jié)構(gòu)如圖2所示。

圖2：分布式防火墻系統(tǒng)的服務(wù)端功能結(jié)構(gòu)

（1）規(guī)則管理：服務(wù)端配置管理主要包括規(guī)則導(dǎo)出、規(guī)則查詢、規(guī)則維護(hù)以及規(guī)則導(dǎo)入等功能。其中規(guī)則導(dǎo)出是指將服務(wù)器數(shù)據(jù)庫(kù)中的過濾規(guī)則導(dǎo)出，為其他功能模塊提供過濾規(guī)則支持；規(guī)則查詢可以為用戶提供現(xiàn)有過濾規(guī)則；規(guī)則維護(hù)可以為用戶提供規(guī)則的增、刪、改等功能；規(guī)則導(dǎo)入則可以將更新后的過濾規(guī)則導(dǎo)入到服務(wù)器數(shù)據(jù)庫(kù)，完善服務(wù)端過濾規(guī)則。

（2）通信管理：通信管理主要包括規(guī)則發(fā)送、詢問應(yīng)答、選擇統(tǒng)計(jì)等功能，其中規(guī)則發(fā)送可知在客戶端向服務(wù)端發(fā)出防火墻過濾規(guī)則更新請(qǐng)求后，服務(wù)端向客戶端發(fā)送更新過濾規(guī)則；詢問應(yīng)答可以在客戶端無法判斷程序上網(wǎng)請(qǐng)求的情況下，接收客戶端發(fā)出的詢問請(qǐng)求后，對(duì)服務(wù)端數(shù)據(jù)庫(kù)進(jìn)行全面檢索，進(jìn)而根據(jù)檢索結(jié)果向客戶端作出反饋[6]；選擇統(tǒng)計(jì)在用戶作出自主選擇以后，客戶端會(huì)將選擇結(jié)果上傳給服務(wù)端，此時(shí)服務(wù)端需要將用戶作出的選擇結(jié)果進(jìn)行統(tǒng)計(jì)分析，用作后續(xù)過濾規(guī)則完善的依據(jù)。

1.2 系統(tǒng)性能需求

分布式防火墻系統(tǒng)應(yīng)滿足以下性能需求：

（1）防火墻系統(tǒng)需要具備良好的可移植性和可拓展性，為系統(tǒng)的后續(xù)移植和拓展作出良好保障；

（2）防火墻系統(tǒng)需要在Windows XP/7/10 等系統(tǒng)環(huán)境下正常運(yùn)行；

（3）防火墻系統(tǒng)人機(jī)交互界面設(shè)計(jì)應(yīng)遵循“以人為本”的要求，方便用戶的操控使用；

（4）防火墻系統(tǒng)的各項(xiàng)功能、程序及數(shù)據(jù)庫(kù)均可以進(jìn)行維護(hù)及管理。

2 分布式防火墻系統(tǒng)的設(shè)計(jì)

2.1 主要技術(shù)分析

2.1.1 Filter Hook Driver 過濾技術(shù)

Filter Hook Driver 過濾技術(shù)作為一種內(nèi)核狀態(tài)過濾技術(shù)，其自Windows 2000 系統(tǒng)便開始向計(jì)算機(jī)提供過濾支持，可以通過Ipfilrdrv.sys 的各類功能實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的過濾、判斷及攔截。同時(shí)，相對(duì)于其他過濾技術(shù)來說，F(xiàn)ilter Hook Driver 過濾技術(shù)整體結(jié)構(gòu)更為簡(jiǎn)單、有利于操作及實(shí)現(xiàn)，再加上技術(shù)發(fā)展時(shí)間較長(zhǎng)，功能較為完善，所以在綜合分析考慮后，最終選用此技術(shù)作為分布式防火墻的過濾技術(shù)。

2.1.2 SQlite 技術(shù)

SQlite 技術(shù)支持市面上各類常見操作系統(tǒng)，并且還可以同各類常見程序語(yǔ)言及開源數(shù)據(jù)庫(kù)結(jié)合，再加上SQlite 技術(shù)技術(shù)具有資源占用率低、數(shù)據(jù)處理數(shù)據(jù)快、無需安裝及額外管理等優(yōu)勢(shì)，更符合防火墻系統(tǒng)的實(shí)際要求，所以對(duì)市面上各類技術(shù)進(jìn)行綜合分析后，最終選擇SQlite 技術(shù)作為客戶端數(shù)據(jù)技術(shù)。

在具體設(shè)計(jì)中，SQlite 技術(shù)主要負(fù)責(zé)防火墻系統(tǒng)客戶端數(shù)據(jù)庫(kù)運(yùn)行，即連接數(shù)據(jù)庫(kù)、執(zhí)行數(shù)據(jù)庫(kù)相關(guān)事務(wù)內(nèi)容、斷開數(shù)據(jù)庫(kù)連接，并關(guān)閉數(shù)據(jù)庫(kù)附加各類文件[7]。

2.1.3 SQL Server 技術(shù)

SQL Server 技術(shù)主要用于分布式防火墻系統(tǒng)服務(wù)端的數(shù)據(jù)庫(kù)開發(fā)。由于客戶端數(shù)據(jù)庫(kù)中所存在的數(shù)據(jù)信息無需保證完整性，其內(nèi)部也無需存儲(chǔ)所有系統(tǒng)過濾規(guī)則，所以，數(shù)據(jù)量較小，可以采用輕量化的Qlite 數(shù)據(jù)庫(kù)。而服務(wù)端需要保障系統(tǒng)過濾規(guī)則信息的完整性和正確性，所以，輕量化設(shè)計(jì)將難以滿足相關(guān)要求，所以在綜合選擇后選用SQL Server 技術(shù)作為服務(wù)端數(shù)據(jù)庫(kù)。

2.2 分布式防火墻系統(tǒng)總體架構(gòu)設(shè)計(jì)

分布式防火墻系統(tǒng)主要分為客戶端和用戶端兩部分，其中客戶端的核心功能在于應(yīng)用層網(wǎng)絡(luò)過濾和協(xié)議級(jí)網(wǎng)絡(luò)過濾兩部分，本設(shè)計(jì)中的其他功能均以實(shí)現(xiàn)以上兩種功能為前提進(jìn)行配置和實(shí)現(xiàn)。具體分布式防火墻系統(tǒng)總體設(shè)計(jì)架構(gòu)如圖3所示。

圖3：分布式防火墻系統(tǒng)總體設(shè)計(jì)架構(gòu)

如圖3所示，在分布式防火墻系統(tǒng)中，應(yīng)用層網(wǎng)絡(luò)過濾模塊主要用于實(shí)現(xiàn)網(wǎng)絡(luò)過濾功能中的應(yīng)用層網(wǎng)絡(luò)過濾子功能，而協(xié)議級(jí)網(wǎng)絡(luò)過濾模塊則是負(fù)責(zé)網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包相關(guān)的過濾和攔截；規(guī)則與日志過濾模塊主要用于系統(tǒng)過濾規(guī)則以及阻攔日志的分析及管理；報(bào)警管理模塊則可以在發(fā)現(xiàn)符合過濾規(guī)則要求的問題后，通過消息提示、聲音報(bào)警、郵件報(bào)警等多種方式向用戶提供報(bào)警信息，促使用戶可以第一時(shí)間對(duì)問題進(jìn)行發(fā)現(xiàn)和處理；通信管理主要負(fù)責(zé)對(duì)系統(tǒng)網(wǎng)絡(luò)通信相關(guān)的功能實(shí)現(xiàn)。此外，用戶的人機(jī)交互界面可以通過界面中的功能來控制對(duì)應(yīng)系統(tǒng)功能模塊工作運(yùn)行。

2.3 過濾模塊設(shè)計(jì)及實(shí)現(xiàn)

由于本設(shè)計(jì)中采用了內(nèi)部狀態(tài)過濾技術(shù)，所以實(shí)際設(shè)計(jì)中的過濾模塊也將是內(nèi)部驅(qū)動(dòng)過濾模塊。具體設(shè)計(jì)過程中過濾模塊的驅(qū)動(dòng)程序入口將會(huì)設(shè)置為DriverEntry（）函數(shù)，此函數(shù)與常規(guī)的Main（）函數(shù)相類似，可以幫助系統(tǒng)自動(dòng)初始化和調(diào)用系統(tǒng)存儲(chǔ)日志和過濾條件等數(shù)據(jù)結(jié)構(gòu)，之后再創(chuàng)建系統(tǒng)邏輯設(shè)備，此設(shè)備不會(huì)與系統(tǒng)物理設(shè)備相關(guān)聯(lián)。

在完成邏輯設(shè)備創(chuàng)建后，還需要實(shí)現(xiàn)邏輯設(shè)備與符號(hào)連接工作，即實(shí)施符號(hào)連接。此過程中可以符號(hào)連接的設(shè)備可供系統(tǒng)應(yīng)用程序調(diào)用，但調(diào)用需要CreateFile（）函數(shù)作為驅(qū)動(dòng)支持，在應(yīng)用程序與邏輯程序達(dá)成通信連接后，實(shí)現(xiàn)程序調(diào)用及控制。

最后，設(shè)計(jì)中還需要制作函數(shù)指針，在系統(tǒng)卸載驅(qū)動(dòng)模塊時(shí)，為保障卸載效果，需要調(diào)用提前設(shè)計(jì)的函數(shù)指針以及現(xiàn)有函數(shù)列表中的函數(shù)指針，根據(jù)預(yù)設(shè)的卸載函數(shù)指針及其他指針參數(shù)項(xiàng)，完成系統(tǒng)驅(qū)動(dòng)模塊卸載后，對(duì)系統(tǒng)驅(qū)動(dòng)模塊進(jìn)行自動(dòng)初始化處理。

此外，驅(qū)動(dòng)模塊的各項(xiàng)功能發(fā)揮均需要通過IRP 由上層程序分配驅(qū)動(dòng)功能，并在完成功能分配后，具體功能實(shí)現(xiàn)則會(huì)交由函數(shù)指針通過確定函數(shù)來實(shí)現(xiàn)。在驅(qū)動(dòng)程序模塊初始化后，系統(tǒng)需要重新制定各類驅(qū)動(dòng)模塊所需函數(shù)，在此過程中，驅(qū)動(dòng)模塊中的函數(shù)會(huì)采用先操作類函數(shù)，再根據(jù)操作類函數(shù)確定執(zhí)行任務(wù)類函數(shù)的處理過程。

3 結(jié)束語(yǔ)

綜上所述，本文基于現(xiàn)有防火墻技術(shù)，提出一種分布式防火墻設(shè)計(jì)架構(gòu)方案。此設(shè)計(jì)采用了B/S架構(gòu)、Filter Hook Driver 過濾技術(shù)、SQlite 技術(shù)以及SQL Server 技術(shù)，相對(duì)于傳感防火墻設(shè)計(jì)來說，所構(gòu)建系統(tǒng)具有輕量化、可拓展、可維護(hù)、可移植等特征，不僅符合當(dāng)前市場(chǎng)對(duì)防火墻技術(shù)的相關(guān)要求，適用于包括家庭使用、小型辦公等多種應(yīng)用場(chǎng)景，而且還能夠提高防火墻攔截效率及效果，提高用戶個(gè)人計(jì)算機(jī)的整體安全性，充分發(fā)揮出防火墻系統(tǒng)的基本功能，避免用戶計(jì)算機(jī)被網(wǎng)絡(luò)攻擊，所以總體來說具有一定的研究?jī)r(jià)值和應(yīng)用價(jià)值，值得在后續(xù)研究及應(yīng)用中進(jìn)行參考。