防火墙安全检测部件的研究-学位论文.doc

1、防火墙安全检测部件的研究 摘要：随着计算机网络技术的突飞猛进，网络安全的问题已经日益突出地摆在各类用户的面前。目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。防火墙入侵检测系统是信息安全领域研究的热点问题。防御技术是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。本文比较详细的介绍了网络安全的基础知识，以及防火墙的基本知识、实现方法、基本功能、主要类型、防火墙的应用和分析，通过对网络结构、防火墙的一些缺陷以及系统漏洞的分析，找出可行之方法，达到阻止恶意网站绕过防火墙对系统进行攻击的目的。 关键词：防火墙入侵检测系统

2、内部网络；外部网络；防御技术；恶意网站 The research of firewall security testing components Abstract：Advance by leaps and bounds technically along with the calculator network,the problem of the network safety is already to put in each kind of in front of cus

3、tomer increasingly and outstandingly. Currently at Internet up have about nearly 20% above of customer has ever suffered the harassment of the black guest.Firewall Intrusion Detection System is a hot research field of information security issues. Defense technology is built on the inside and outside

4、 the network boundary filtering block mechanism, it considers the internal network is safe and reliableLai, while the external network is considered unsafe and unreliable. This text introduced the foundation konwledge of the network safety more and detailedly,and the basic konwledge of the fire wall

5、carry out the application of method,basic function,main type,fire wall and analyze,pass the analysis to some blemishs and the system loophole of network structure,find out the method that can go ,attain to blocking malicious websites rounding the purpose that carries on the attack to the system ove

6、r the fire wall. Keywords: Firewall Intrusion Detection System; Internal network; External network; Defense technology；Malicious websites 目录 摘要 I Abstract II 引言 1 1 国内外研究状况 2 1.1 发展状况 2 1.2存在的问题 2 2 防御技术 4 2.1 防火墙技术 4 2.2 防火墙的分类 4 2.2.1包过滤型防火墙 4 2.2.3应用代理网关防火墙 5 2

7、2.3状态检测技术防火墙 6 2.3 典型防火墙的体系结构 6 2.2.1包过滤路由器 7 2.2.2双宿主主机 7 2.2.3屏蔽主机网关 8 3 语义分析基本原理 11 3.1 网卡的模式 11 3.2 数据包的定义 11 3.3几种常见的数据包格式 12 2.3.1 TCP报文 12 3.3.2 UDP报文 12 3.3.3 IP数据报 12 4 入侵检测的关键技术 13 4.1 基于行为的入侵检测技术 13 4.2 基于知识的入侵检测技术 13 4.3 基于其他方法的入侵检测技术 13 5 程序设计 14 5.1程序设计目的 14 5.2程序设计分

8、析 14 5.3 程序设计代码 14 6 致谢 43 7 参考文献 44 引言 据国外数据统计,在开通互联网办公的企业中,企业员工平均每天有超过二分之一的上班时间用来上网聊天,浏览娱乐、赌博等网站,处理个人事务,员工用于下载与工作有关的文章与资料的时间只占下载时间的25%。我国各行业的办公网络也存在着类似的情况。浏览新闻、搜索引擎、收发邮件、即时通讯、论坛/BBS/讨论组,是我国网民经常使用的五大网络服务。随着Web技术的迅速发展,一种越来越%的趋势表明,在不久的将来,Web有可能取代各种不同的服务器端和客户端的软、硬件平台及相应的应用系统,成为人们在Intern

9、et上进行信息发布和获取的标准平台。因此,用防火墙进行实时监控所在网络的通讯,当网络上出现非法内容时,将捕获的非法内容保存到数据库,向网络安全管理部门报告,以便及时保护企事业单位及国家的利益,已显得十分有必要[1]。 本课题以数据包，内核驱动为基础，需要对数据包进行更深层次的语意分析，实现利用驱动程序对数据包进行过滤从而达到防火墙网络实时监控的目的。因为许多商业机密内容都采用了各种各样的加密算法，因此本课题只考虑一般的没有经过加密的数据包。 1 国内外研究状况 1.1 发展状况 计算机防火墙网络监控技术为分析、防范、处理网络相关的问题提供工具与方法，是实施网络管理的方法

10、和手段之一。在过去几十年里，国际标准化组织和Internet工作组在网络管理方面都作了大量工作，并提出了各自的网络管理框架、协议和标准。国内已有具备部分网络管理和网络监控功能的产品，但没有公开其技术细节，而且没有形成通用的网络监控框架。随着宽带网络的发展，以及网络监控系统规模的扩大，如何监控宽带上流量巨大的通信数据，如何同时监控数量众多的被管设备，网络监控系统的性能问题成为了决定一个网络监控系统是否成功的首要问题。尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全，但是，对许多先存的安全问题仍然无法做到真正意

11、义上的解决[2]。 1.2存在的问题 1) 如何对补丁进行自动分发部署和监控，保障终端系统的健壮性，从而免受病毒的侵袭。 2) 如何实施有效的网络客户端通讯(包括流量)管理，防止计算机蠕虫。 3) 如何对登陆账号口令进行有效管理，防止病毒或黑客进行攻击。 4) 如何准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。 5) 如何进行外部(移动存储)设备(如笔记本u盘、移动硬盘等)的监控管理，并对与这些设备相关的数据交换进行审计、确保数据安全。 6) 如何对通过电子邮件、网络拷贝、打印输出的数据进行审计，保证其安全。 7) 如何进行有效的远程维护和接管，进

12、行远程网络故障诊断，远程查看客户机屏幕，关闭、锁定或重起计算机，或禁用网络连接； 8) 如何对网络中的软件状态信息进行有效的查询和管理，以及时发现隐患； 9) 如何方便准确的对IP地址和MAC地址进行绑定，防止IP冲突、保障网络安全。 10) 如何重要IP进行保护，防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的安全。 11) 如何安全、方便的将非安全计算机阻断出网。 12) 如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。 13) 如何有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。 14) 如何对硬件资产进行

13、自动发现识别，并打印报表，以便对网络硬件资产进行电子化跟踪和管理，在提高工作精度的同时减少网络管理人员的工作量。 15）如何对软件进行分发安装，以大幅度减少网管的工作量。 16）如何有效进行网络资源管理和设备资产管理。 2 防御技术 2.1 防火墙技术 所谓防火墙(firewall)是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止未经授权地访问被保护的内部网络，通过边界控制强化内部网络的安全策略。它的实现有多种形式，但原理很简单，可以把它想象为一对开关，其中一个用来阻止传输，另一个用来允许传输。防火墙作为网

14、络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻[3]。 在网络层，防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层，这个连接可以被端到端的加密，也就是进程到进程的加密。在应用层，它可以进行用户级的身份认证、日志记录和账号管理。因此防火墙技术简单说就是一套身份认证、加密、数字签名和内容检查集成一体的安

15、全防范措施，所有来自Internet的传输信息和内部网络发出的传输信息都要过防火墙，由防火墙进行分析，以确保它们符合站点设定的安全策略，以提供一种内部节点或网络与Internet的安全屏障[4]。 2.2 防火墙的分类 防火墙技术经历了包过滤、应用代理网关和状态检测3个发展阶段。包过滤型的防火墙通常直接转发报文，它对用户完全透明，速度较快；应用代理网关防火墙是通过服务器建立连接的，可以有更强的身份验证和注册功能；状态检测防火墙是在其核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所

16、处的状态，因此提供了完整的对传输层的控制能力。 2.2.1包过滤型防火墙 包过滤防火墙一般有一个包检查块(通常称为包过滤器)，数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层（即TCP和IP层)之间。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包[5]。 包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只

17、能识别数据包是TCP还是UDP及所用的端口信息。由于只对数据包的IP地址、TCP／UDP协议和端口进行分析，如果一条规则阻止包传输或接收，则此包便不被允许通过，否则该包可以被继续处理。包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙的优点：防火墙对每条传人和传出网络的包实行低水平控制；每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等；防火墙可以识别和丢弃带欺骗性源IP地址的包；包过滤防火墙是两个网络之间访问的惟一通道；包过滤通常被包含在路由器数据包中，所以不必用额外的系统来处理这个特征。 包过滤防火墙缺点：不能防范黑客攻击，因为网管不可能区分出可信网络与不可信网络的界限

18、不支持应用层协议，因为它不认识数据包中的应用层协议；访问控制粒度太粗糙，不能处理新的安全威胁。 2.2.3应用代理网关防火墙 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求[6]。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力较强。其缺点：①难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理地配置安全策略，

19、由于配置烦琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。②处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性，但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器及业务程序等，就需要建立一个个服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。 总之，应用代理防火墙不能支持大规模的并发连接，对速度要求高的行业不能使用这类防火墙。另外，防火墙核心要求预先内置一些已知应用程序的

20、代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。 2.2.3状态检测技术防火墙 状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高。Internet上使用的是TCP／IP协议，TCP协议的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”3次握手。例如最常用到的Web浏览、文件下载、收发邮件等都要经过这3次握手。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个

21、参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度，采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是一些规则复杂的大型网络。 2.3 典型防火墙的体系结构 一个防火墙系统通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器，它能够拦截和检查所有出站和进站的数据，它首先打开IP包，取出包头，

22、根据包头的信息(如IP源地址，IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析，阻止或允许包传输或接收)，并进行记录。代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用一个客户程序与特定的中间节点(防火墙)连接，然后中间节点与期望的服务器进行实际连接。与包过滤器所不同的是，使用这种类型的防火墙，内部与外部网络之间不存在直接连接，因此，即使防火墙发生了问题，外部网络也无法获得与被保护的网络的连接。代理提供了详细的注册及审计功能，这大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能。它是基于特定协议的，如FTP、HTTP等，为了通过代理支持一个新的协议，必须改进代理服

23、务器以适应新协议。典型防火墙的体系结构包括过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等类型。 2.2.1包过滤路由器 包过滤路由器又称屏蔽路由器，是最简单也是最常用的防火墙。它一般作用在网络层 图1 包过滤路由器体系结构 对进出内部网络的所有信息进行分析，并按照一定的安全策略(过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可用一台过滤路由器来实现，对所接收的每个数据包做出允许或拒绝的决定，如图所示。 采用包过滤路由器的防火墙优点在于速度快、实现方便；缺点是安全性能差、兼容性差(不同操作系统环境下。TCP和LIDP端口号所

24、代表的应用服务协议类型有所不同)、没有或只有较少的日志记录能力。 2.2.2双宿主主机 双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)构成的每一个接口都连接在物理和逻辑上分离的不同的网段，代理服务器软件在双宿主主机上运行，如图所示。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外网络之间的IP数据流被双宿主主机完全切断。结构上采用主机取代路由器执行安全控制功能，受保护网除了看到堡垒主机外，不能看到其他任何系统。同时堡垒主机不转发TCP／IP通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。 双宿主主机防火墙的优势是：堡垒主

25、机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等，有利于网络管理员的检查；其缺点是：由于隔开内部网和外部因特网之间只有一道屏障，若入侵者得到了双宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双宿主主机首先要禁止网络层的路由功能，还应具有强大的身份认 图2 双宿主主机体系结构 证系统，尽量减少防火墙上用户的账户数目。 2.2.3屏蔽主机网关 屏蔽主机网关防火墙是由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤；应用网关的作用是代理服务，即在内部网络与外部网络之间建立两道安全屏障。屏蔽主机网关防火墙的结构如图所示。

26、 图3 屏蔽主机网关体系结构 对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是允许直接访问Internet，还是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，可以使其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 屏蔽主机网关防火墙的优点是安全等级较高，可以提供公开的信息服务的服务器。如web，FTP等，可以放置在由包

27、过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。缺点是配置工作复杂。过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，如果遭到破坏，则数据包就不会被路由到堡垒主机上。 4）被屏蔽子网 被屏蔽子网防火墙系统是由两个包过滤路由器和一个应用网关(堡垒主机)组成。包过滤路由器分别位于周边网与内部网、周边网与外部网之间，而应用网关居于两个包过滤路由器的中间，形成了一个“非军事区”(D

28、MZ)，建立了一个极安全的防火墙系统。如图所示。 图4 被屏蔽子网体系结构 对于进来的信息，外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击)，并管理Internet到DMZ网络的访问，它只允许外部系统访问堡垒主机(还可能有信息服务器)；里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责管理DMZ到内部网络的访问，对于去往Internet的数据包，里面的路由器管理内部网络到DMZ网络的访问，它允许内部系统只访问堡垒主机(还可能有信息服务器)；外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。 被屏蔽子网防

29、火墙系统具有下列优点： 1．入侵者必须突破3个不同的设备(外部路由器、堡垒主机、内部路由器)才能侵著内部网络。 2．由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放。 3．由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。 4．包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主

30、机双宿的必要。 5．内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。 6．由于DMZ网络是一个与内部网络不同的网络，NAT(网络地址变换)软件可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子。 3 语义分析基本原理 3.1 网卡的模式 在正常的情况下, 一个网络接口应该只响应以下两种数据帧: (1)与自己硬件地址相匹配的数据帧。 (2) 发向所有机器的广播数据帧。 其实在一个实际的系统中, 数据的收发由网卡完成, 网卡接收到传输来的数据帧, 网 卡内的单片程序接收数据帧的目的 MAC地址, 根据计算

31、机上的网卡驱动程序设置的接收模式判断是否接收。而对于合法的网卡来说应该只接收以下数据帧有以下 4种模式: ①广播方式。②组播方式。③单播方式。④混杂模式 广播方式：该模式下的网卡能够接收网络中的广播信息。 组播方式：设置在该模式下的网卡能够接收组播数据。 单播方式：在这种模式下，只有目的网卡才能接收该数据。 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给 它的。 3.2 数据包的定义 “包”(Packet)是TCP/IP协议通信传输中的数据单位，一般也称“数据

32、包”。有人说，局域网中传输的不是“帧”(Frame)吗？没错，但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。我们可以用一个形象一些的例子对数据包的概念加以说明：我们在邮局邮寄产品时，虽然产品本身带有自己的包装盒，但是在邮寄的时候只用产品原包装盒来包装显然是不行的。必须把内装产品的包装盒放到一个邮局指定的专用纸箱里，这样才能够邮寄。这里，产品包装盒相当于数据包，里面放着的产品相当于可用的数据，而专用纸箱就相当于帧，且一个帧中只有一个数据包。 “包”听起来非

33、常抽象，那么是不是不可见的呢？通过一定技术手段，是可以感知到数据包的存在的。比如在Windows 2000 Server中，把鼠标移动到任务栏右下角的网卡图标上(网卡需要接好双绞线、连入网络)，就可以看到“发送：××包，收到：××包”的提示。通过数据包捕获软件，也可以将数据包捕获并加以分析[6]。 3.3几种常见的数据包格式 2.3.1 TCP报文 传输控制协议（Transmission Control Protocol，TCP）是一种面向连接的、可靠的、基于字节流的运输层通信协议，该协议主要用于在主机间建立一个虚拟连接，以实现高可靠性的数据包交换。TCP位于OSI七层参考模型的传

34、输层，通过该协议在网络上传输的报文即TCP报文。 3.3.2 UDP报文 用户数据报协议（UDP）是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。 UDP 协议基本上是 IP 协议与上层协议的接口。 UDP 协议适用端口分辨运行在同一台设备上的多个应用程序。 3.3.3 IP数据报 TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报(IP Datagram)。这是一个与硬件无关的虚拟包, 由首部和数据两部分组成，其格式如图所示。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长

35、度是可变的。首部中的源地址和目的地址都是IP协议地址[6]。 4 入侵检测的关键技术 4.1 基于行为的入侵检测技术 基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。它通过统计网络的日常行为建立一个模型，该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。 这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。为解决误报警问题，需要根据网络的实际使用情况对各种设定的统计值

36、进行不断的调节。 　 基于行为的入侵检测技术的优点在干它可以检测到当前不为人知的入侵攻击方法[7]。 4.2 基于知识的入侵检测技术 基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生。这些标志主要包括：对一个敏感主机的登录失败次数；对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。 基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。 4.3 基于其他方法的入侵检测技术

37、基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。除专家系统、数据挖掘技术之外，还有神经网络，模糊系统，遗传算法等。但是这些方法都有一的缺点。 5 程序设计 5.1程序设计目的 现在我要设计一个简易防火墙--包过滤式的防火墙，来防止不安全网站的打开，假定某网站的网址为，现在要阻止我的电脑打开

38、这个网站。 5.2程序设计分析 要阻止网址的打开必须要截获这个网站发来的数据包，加以判断后然后阻止打开该网址。所以说截获数据包是实现一个防火墙的第一步，截获数据包的方法有很多种，既可以在用户态下拦截网络数据包，又可以在核心状态下进行数据包的截获。用户态下截获数据包有一定的局限性，很显然，在用户态下进行数据包拦截最致命的缺点就是只能在winsock层次上进行，而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。[7]我们所说的“应用层截包”不是指上面描述的在用户态拦截数据包，而是在驱动程序中的截获，在应用层中处理。要获得一个通用的方式，应该在IP

39、层之下进行拦截。因此，我是选择利用网络驱动程序来实现的，选用的是windows 2000 Filter-Hook Driver 驱动程序处理模式，在windows xp 下使用Filter-Hook Driver 创建过滤函数，它的操作是对到来的数据包来一个检查一个，该放行的放行，该拒绝的就拒绝[8]。 首先我们先了解Windows Xp 计算机上的筛选器挂钩驱动程序ipfltdrv.sys，该 Windows 组件可使用筛选器挂钩 API，筛选传入和传出的 IP 数据包。在运行 Windows Xp 的计算机上，筛选器挂钩驱动程序为 Ipfltdrv.sys，属于“路由和远程访问”的一个组

40、件。启用后，“路由和远程访问”允许用户使用路由和远程访问管理单元，对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量（不发往主机的数据包）[9]。Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。若入站 IP 数据包筛选器不允许该数据Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。所以可以修改Ipfltdrv.sys驱动程序来阻止网

41、站的打开[10]。 由于应用层不能直接对内核驱动进行控制，所以我必须先自己写个驱动程序，然后通过服务控制管理器让自写的驱动得以加载。 5.3 程序设计代码 首先我们来写一个驱动程序用以修改Ipfltdrv.sys驱动程序，我们将这个驱动命名为DrvFltIp.sys，下面开始编写DrvFltIp.sys： DrvFltIp头文件DrvFltIp.h： /* DrvFltIp.H */ #define FILE_DEVICE_DRVFLTIP 0x00654322 #define DRVFLTIP_IOCTL_INDEX 0x830 #define START

42、IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP, DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED, FILE_ANY_ACCESS) #define STOP_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP, DRVFLTIP_IOCTL_INDEX+1, METHOD_BUFFERED, FILE_ANY_ACCESS) #define ADD_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP, DRVFLTIP_IOCTL_INDEX+2, METHOD_BUFFERED, FI

43、LE_WRITE_ACCESS) #define CLEAR_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP, DRVFLTIP_IOCTL_INDEX+3, METHOD_BUFFERED, FILE_ANY_ACCESS) //struct to define filter rules typedef struct filter { USHORT protocol; //protocol used ULONG sourceIp1; //source ip address ULONG sourceIp2; //source i

44、p address ULONG destinationIp1; //destination ip address ULONG destinationIp2; //destination ip address USHORT sourcePort1; //source port USHORT sourcePort2; //source port USHORT destinationPort1; //destination port USHORT destinationPort2; //destination port BOO

45、LEAN drop1; //if true, the packet will be drop, otherwise the packet pass BOOLEAN drop2; //if true, the packet will be drop, otherwise the packet pass }IPFilter; //struct to define filter rules typedef struct fil { USHORT protocol; //protocol used ULONG sourceIp; //source

46、ip address ULONG destinationIp; //destination ip address USHORT sourcePort; //source port USHORT destinationPort; //destination port }IPFil; //struct to build a linked list struct filterList { IPFilter ipf; struct filterList *next; }; //Ip Header typedef struct IPHeader {

47、 UCHAR iphVerLen; // Version and length UCHAR ipTOS; // Type of service USHORT ipLength; // Total datagram length USHORT ipID; // Identification USHORT ipFlags; // Flags UCHAR ipTTL; // Time to live UCHAR

48、 ipProtocol; // Protocol USHORT ipChecksum; // Header checksum ULONG ipSource; // Source address ULONG ipDestination; // Destination address } IPPacket; //TCP Header typedef struct _TCPHeader { USHORT sourcePort; // Source Port USHORT

49、 destinationPort; // Destination Port ULONG sequenceNumber; // Number of Sequence ULONG acknowledgeNumber; // Number of aknowledge UCHAR dataoffset; // Pointer to data UCHAR flags; // Flags USHORT windows; // Size of window USHORT checksum; // Total checksum USHORT urgentPointer; // Urgent pointer } TCPHeader; //UDP Header typedef struct _UDPHeader { USHORT sourcePort; // Source Port USHORT destinationPort; // Destination Port USHORT len; // Total length USHORT checksum; // Total checksum } UDPHeader; //