基于包过滤拦截安全隐患的防火墙的研究与实现.docx
《基于包过滤拦截安全隐患的防火墙的研究与实现.docx》由会员分享,可在线阅读,更多相关《基于包过滤拦截安全隐患的防火墙的研究与实现.docx(34页珍藏版)》请在冰点文库上搜索。
基于包过滤拦截安全隐患的防火墙的研究与实现
**大学
毕业设计
题目:
基于包过滤拦截安全隐患的防火墙的研究与实现-----个人防火墙的研究与实现
学生姓名:
学号:
系(院):
专业:
班级:
指导教师姓名及职称:
起止时间:
年月——年月
基于包过滤拦截安全隐患的防火墙的研究与实现-----个人防火墙的研究与实现
摘要:
当今计算机网络体系存在着安全隐患.传统意义上的防火墙无法实现对局域网内每一台主机的保护,因此迫切需要研究个人防火墙系统。
本文简述了TCP/IP的基础知识,分析了协议中的安全隐患,提出了防御对策。
本文对常用的Windows个人防火墙软件产品进行了分析,认为个人防火墙的核心技术是对网络数据包的封包截获。
通过对0SI七层网络模型和Windows网络体系结构的对比分析后,提出实现封包截获的不同协议层次。
本文研究了在不同协议层次上由微软公司提出的编程接口规范,例如:
网络驱动接口,传输驱动接口及服务提供者接口。
一个功能完备的个人防火墙系统不仅能够封包截获,而且能够自动学习规则、支持自定义控管规则,随时记录网络通信状况等等。
本文遵循服务提供者接口规范,完整实现了上述功能,开发了具有实用价值的个人防火墙系统。
关键字:
个人防火墙;包过滤;网络驱动接口;传输驱动接口;服务提供接口
ResearchandImplementationofFirewallaboutInterceptingThreatforSecurityBasedonPacketFiltering
-----PersonalFirewallResearchandImplementation
Abstract:
Therearelotsofdangersinthesystemofcomputernetwork,andtraditionalfirewallcan’tprotecteveryPCinlocalareanetwork.SotheresearchofPCfirewallhasitsspecialvalue.ThispaperdescribesTCP/IPandpotentialsecureproblems,givesadefensivestrategy.ThispaperthinksthatthecoretechnologyofpersonalfirewallisinterceptingorfilteringnetworkdatapacketComparingwithOSI/RMandwindowsnetworkarchitecture,thispapergivesseveralnetworkprotocollayersonwhichtheinterceptingofnetworkdatapacketpossiblycanbedone.Then,thispaperstudiesseveralprogramminginterfacesandspecificationsrecommendedofdifferentprotocollayersbyMicrosoftcompany,includingNDIS(NetworkDriverInterfaceSpecification),TDI(TransportDriverInterface)andSPI(ServiceProviderInterface).Anintegratedpersonalfirewallcannotonlyinterceptnetworkdatapacket,butalsosupportself-definingcontrolling-rule,auto-learningtherulesandlognetworkcommunicationconditionatanytimeandsoon.ThispaperoffersapracticalpersonalfirewallsoftwaresystemwhichcompletelyrealizesthesefunctionsaboveusingSPImethod.
.Keywords:
PersonalFirewall;packetfiltering;NDIS;TDI;SPI
目录
摘要
Abstract
1绪论…………………………………………………………………………………………..
(1)
1.1背景…………………………………………………………………………………….
(1)
1.2国内外发展现状……………………………………………………………………….
(1)
1.3本论文研究的目的和主要内容……………………………………………………….
(2)
2TCP/IP架构概述与各层安全隐患及对策………………………………………………….
(2)
2.1TCP/IP与OSI/RM的对比……………………………………………………………..
(2)
2.2TCP/IP各层安全隐患与对策…………………………………………………………(4)
2.2.1网络接口层的安全隐患与对策………………………………………………...(4)
2.2.2网际层的安全隐患与对策………………………………………………………(6)
2.2.3传输层的安全隐患与对策……………………………………………………..(8)
2.2.4应用层的安全隐患与对策…………………………………………………….(9)
3防火墙概述…………………………………………………………………………………..(11)
3.1什么是防火墙…………………………………………………………………………(11)
3.2防火墙的一般原理……………………………………………………………………(11)
3.3防火墙功能……………………………………………………………………………(12)
3.4防火墙的局限性………………………………………………………………………(12)
3.5个人防火墙……………………………………………………………………………(13)
3.5.1个人防火墙的特殊性…………………………………………………………..(13)
3.5.2个人防火墙的功能与特点……………………………………………………..(14)
4相关技术基础………………………………………………………………………………..(14)
4.1Windows网络体系…………………………………………………………………….(14)
4.2OSI与Windows结构的概略映射…………………………………………………….(15)
4.3数据包截获技术………………………………………………………………………(16)
4.3.1NDIS简介……………………………………………………………………….(16)
4.3.2TDI简介…………………………………………………………………………(19)
4.3.3SPI简介…………………………………………………………………………(20)
4.4技术路线分析与选择……………………………………..........................................(22)
5个人防火墙的实现………………………………………………………………………….(24)
5.1需求分析………………………………………………………………………………(24)
5.1.1调研情况………………………………………………………………………..(24)
5.1.2开发环境………………………………………………………………………..(25)
5.2总体设计………………………………………………………………………………(25)
5.2.1FW体系结构设计……………………………………………………………….(25)
5.2.2FW模块定义…………………………………………………………………….(26)
5.2.3FW功能设计…………………………………………………………………….(30)
5.3详细设计……………………………………………………………………………….(31)
5.3.1DLL的进入点函数………………………………………………………………(32)
5.3.2服务提供者入口函数…………………………………………………………..(33)
5.3.3截获的服务函数………………………………………………………………..(34)
5.3.4DLL的访问过滤…………………………………………………………………(35)
5.3.5主程序与DLL的接口与通信…………………………………………………..(37)
5.3.6日志文件设计…………………………………………………………………..(37)
5.4运行截图……………………………………………………………………………....(39)
6系统测试……………………………………………………………………………………..(41)
6.1功能测试……………………………………………………………………………….(41)
6.2性能测试………………………………………………………………………………(41)
7总结与展望…………………………………………………………………………………..(42)
致谢…………………………………………………………………………………………...(43)
参考文献……………………………………………………………………………………….(44)
基于包过滤拦截安全隐患的防火墙的研究与实现
-----个人防火墙的研究与实现
计算机科学与技术专业XXXX
指导教师***讲师
1绪论
1.1背景
计算机网络技术的飞速发展,极大地改变人们传统的生活和工作模式,越来越多的社会活动开始依赖网络完成,可以说计算机网络的发展已经成为社会进步的一个重要标志.但是网络是一把双刃剑,计算机犯罪,黑客攻击,病毒入侵等恶性事件频频发生。
据有关报道,黑客每年给全世界网络带来的损失高达100亿美元以上。
因此,网络安全越来越受到世界各国的重视。
随着网络安全问题日益突出,网络安全产品也被人们重视起来。
防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。
从防火墙的应用角度来看基本上可以分为两种:
网络级防火墙和个人防火墙。
高的敏感性,同时也对我国政府改善国防安全,提高网络安全领域产品竞争力是非常不利的。
[1]
1.2国内外发展现状
国外在该领域发展得比较快,知名的品牌也比较多,如OutpostFirewall、ZoneAlarm、BlackICE、NortonFirewall等等。
国内主要有天网防火墙、风云防火墙和许多原来是开发杀病毒软件的,如KV、金山,360,瑞星等,国内开发的个人防火墙在实用性能上并不比国外知名品牌逊色。
由于网络安全领域涉及机密多,无法得到商业个人防火墙的实现细节,从外部功能行为上信息
(4).电子邮件监控,可以根据自定义的过滤规则对邮件实施过滤
(5).根据特征库进行入侵检测
(6).在线升级特征库
(7).将防毒、杀毒和个人防火墙集成在一起
1.3本论文研究的目的和主要内容
随着计算机网络技术的突飞猛进,网络安全的问题己经日益突出地摆在各类用户的面前。
目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰.尽管黑客如此猖狂,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,绝大多数个人用户在家或者单位上网时没有安装防止黑客窥视或扫描的防火墙软件。
大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的,对此进行研究和实现是具有重大的理论与实践意义。
本网络动作。
并对其进行了系统测试,从而对防火墙系统开发中涉及的关键技术有了更加深入的了解,同时也系统地掌握了软件开发的整个过程。
2TCP/IP架构概述与各层安全隐患及对策
2.1TCP/IP与OSI/RM的对比
TCP/IP协议并不完全符合0SI的七层参考模型。
传统的开放式系统互连参考模型,是一种有7层通信协议的抽象参考模型,其中每一层执行某一种特定任务。
该模型的目的是使各种硬件在相同的层次上相互通信。
这7层是:
物理层、数据链路层、网络层、运输层、会话层、表示层和应用层。
而TCP/IP通讯协议分成四个概念层次,如图2.1-图2.3所示:
[2]
图2.1DOD美国国防部模型
图2.2OSI七层模型和DOD四层模型对比
图2.3OSI模型DOD模型与TCP/IP协议组的对照
2.2TCP/IP各层安全隐患与对策
TCP/IP协议起源于20世纪60年代末美国国防部的ARPANET,到20世纪90年代己成为计算机之间通信的基础协议,目前TCP/IP协议簇是Internet的最重要协议。
该协议法用户的接近。
链路层主要功能有负责管理网络硬件(网卡、交换机等);不起任何作用,数据帧的目的地址以网卡的MAC地址来标识,与IP层通过ARP协议进行互联,因此在交换式局域网ARP协议成为攻击的主要目标。
ARP欺骗的原理是欺骗者通过向目标主机发送伪造的ARP应答报文,获取目标主机的信任,用伪造IP、MAC映射记录更新目标主机中ARP缓存的相关记录。
如图2.4是ARP攻击示意图。
[3]
图2.4ARP攻击示意图
对策:
对付共享式局域网中网卡的混杂模式可通过Sniffer等数据分析仪对数据包进行分析,以找出问题根源采取相应对策。
对交换式局域网中的ARP欺骗攻击一般可采用ARP改向方法进行,主要是保证cache缓冲中的IP、MAC映射表不被篡改,实现技术可能通过添加静态路由、设置ARP服务器、设置交换机端口绑定等方法。
为了及时发现ARP欺骗要经常进行检测,通过主机检测当前网络中的IP地址是否有重复现象,可采取的方法有两种;一种是被动检查网络广播报文;另一种是主动向有嫌疑的主机发送A即请求,对返回的响应进行判服务器)。
对于网络接口层发生其它类似嗅探、广播风暴等攻击,一般可以利用数据加密、链路安全技术、IP地址欺骗等等。
网际层协议在安全方面的隐患包括以下几种:
、IP源路由、RIP、ICMP等协议来实现。
如图2.5所示DDoS攻击原理
图2.5DDoS攻击原理
是明文传输方式,攻击者可以从截获的TCP数据包中分析出内容,只要猜测到传输的序列号,就可以伪造TCP数据包实现非法操作。
对策:
开发新型有加密功能的协议,对协议进行改进
(3).利用Socket套接字进行TCP端口扫描
扫描是黑客探测对方主机资源的主要方式之一,通过扫描可以了解对方操作系统、安全漏洞、拓扑结构等信息。
扫描一般分为端口扫描、特征扫描和漏洞扫描等几大类,在传输层主要是利用TCP协议的有关字段connect、SYN、FIN等进行的端口扫描。
[6]
对策:
打最新补丁,安装防火墙,屏蔽不经常用的端口。
2.2.4应用层的安全隐患与对策
应用层是网络体系结构的最高层,应用层主要是完成进程之间通信,满足用户的需要,应用层实现和传输层与用户之间的通讯,同时要完成语义、语法、不同编码于好奇心学生开始的,它本身不具有破坏性,病毒发展到今天己经成为一种有着恶意思想的破坏手段,绝大多数的病毒都是修改、删除、窃取数据信息为出发点的,甚至有些是以摧残计算机或网络系统为目的恶劣行为.而病毒的入侵方式也变得多种多样,如磁盘等传输介质、网络入侵、扫描、等等。
由于它藏身于正常的通讯或程序中,使主机不知不觉被感染。
如图2.6和图2.7是近年病毒发展趋势。
[8]
图2.62003-2007年病毒数量比例
图2.72007年各类病毒/木马比列图
对策:
及时打最新补丁,安装软件的最新版,安装防火墙与病毒防火墙,对数据进行加密,留意最新网络安全报道等。
3防火墙概述
网络从20世纪末高速发展到21世纪的今天,其黑客技术从最简单的密码猜测到现全,如图3.1是防火墙结构示意图。
[9]
图3.1防火墙结构示意图
3.2防火墙的一般原理
防火墙是在用户和Internet之间插入一个或几个中介系统的控制关联从而获取一种安全性的方法:
它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。
被保护的环境称为内部网络,另一方称为外部网络,它位于内部和外部网络之间,用来对进出内部网络和外部网络之间的所有网络包进行基于指定规则的过滤,从而有效地控制内部网络和外部网络之间的访问及数据传送,达到保护内部网络的目的。
就网络配置、一个或多个主系统和路由器及其他安全性措施(如代替静态口令的先进验证)来说,防火墙是该政策的具体实施。
防火墙系统的主要用途就是控制对受保护网络(即网点)的往返访问。
它实施网络访问政策的方法就是促使各连接点通过能得到检查和评估的防火墙。
设计防火墙目的可以概括为:
✧限制访问者进入一个被严格限制的点
✧防止进攻者接近防御设备
✧限制访问者离开一个被严格控制的点
✧检查、筛选、过滤和屏蔽信息流中有害服务,防止对计算机蓄意破坏
3.3防火墙功能
防火墙的功能可以包括以下方面:
✧过滤掉不安全服务和非法用户
✧控制对特殊站点的访问
✧可以作为部署NAT(NetworkAddressTranslation)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。
用来解决地址空间短缺的问题
✧提供了监视Internet安全和预警的方便端点
✧可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。
从技术角度讲,就是所谓的停火区(DMZ)
3.4防火墙的局限性
防火
3.5.1个人防火墙的特殊性
传统意义上的防火墙是基于网关的,主要是解决企业内部网与Internet互联时的IP地址和端口的过滤、IP地址翻译、应用服务代理和IP包的加解密问题。
当然,这些产品的功能是强大的,但是,它们只“防外不防内”,因此也就无法真下实现对局域网内每一台主机的保护,更不用说家庭以拨号形式上网的主机安全问题。
基于内部网的主机或以其它形式上网的主机的防火墙正是在这种意义上提出的。
由于PC防火墙的对象是网络上的最终主机。
所以PC防火墙的操作系统平台没有传统意义上的防火墙灵活,几乎没有选择的余地,完全由用户选择,这就决定了PC防火墙的核心技术事实上比传统的防火墙难度更大。
个人防火火墙专用设备却不能做到的功能,比如说基于通过的数据内容和在电脑上运行的应用软件的对应关系来判断是否让其允许数据包通过。
防火墙专用设备则仅根据通过来往的数据包来判断是否让其通过。
虽然配备对发送的数据包内容进行记录,并通过检查是否发问了与其相对应的数据包来提高可靠性的“数据包统一性管理”等功能,但尚不知道何种应用软件进行通信。
与此相对,由于个人防火墙与各种通信应用同时在电脑上运行,因此可以清楚地知道哪一应用在处理数据包。
3.5.2个人防火墙的功能与特点
从功能上来分析,PC防火墙还有一些特别的需求:
✧双向的IP包过滤机制。
✧智能化的网络病毒检测机制。
✧用户通讯的保密机制。
✧系统数据的安全存取机制.
个人防火墙的优点:
✧增加了保护级别,不需要额外的硬件资源
✧个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击
✧个人防火墙是对公共网络中的单个系统提供了保护。
例如一个家庭用户
使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于家庭来说实在是太昂贵了,或者说是太麻烦了。
而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等
个人防火墙的缺点:
主要的缺点就是对公共网络只有一个物理接口,真正
的防火墙应当监视并控制两个或更多的网络接口之间的通信。
这样,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。
[11]
4相关技术基础
Windows网络编程技术有很多种,例如最常见的Winsock;不常见但也非常重要的NDIS(网络驱动程序接口规范)等。
Windows操作系统通过Winsock接口对网络编程提供了完善的支持,通过WinsockAPI能实现很多的功能。
与API为应用程序提供接口类似,NDIS也为驱动程序提供网络接口。
掌握这些技术的前提是需要对Windows网络体系有明确的了解,下面讨论windows网络协议架构。
4.1Windows网络体系
Windows操作系统总体架构分为两个层次,上面为应用层,下面的为核心层。
如图4.1所示。
图4.1windows操作系统的架构
应用层是用户的各种应用程序(.EXE)及其动态链接库(.DLL)工作的层次。
各种用户界面等应用程序都运行于应用层,应用层的程序受到windows保护机制的作用,只具备较低的权进行直接读写操作。
[11]
4.2OSI与Windows结构的概略映射
如图4.2所示OSI与Windows结构的概略映射[11]
OSI模型Windows结构
7.应用层(ApplicationLayer)
6.表示层(PresentationLayer)
5.会话层(SessionLayer)
4.传输层(TransportLayer)
3.网络层(NetworkLayer)
2.数据链路层(DataLinkLayer)
1.物理层(PhysicalLayer)
7.应用程序(EXE)
6.WinsockAPI(DLL)
5.SPI(DLL)
4.TDI(.VXD.SYS)
3.NDIS(.VXD.SYS)
2.网卡驱动程序(.VXD.SYS)
1.网卡
图4.2OSI模型与Windows结构的概略映射
物理层
4.3.1NDIS简介
NDIS是NetworkDriverInterfaceSpecification的缩写,中文意思说网络驱动程序接口规范。
NDIS为传输层提供标准的网络接口,所有的传输层驱动程序都需要调用NDIS接口来访问网络。
NDIS在Windows中所处的位置如图4.3所示。
图4.3NDIS结构
NDIS支持编写3种类型的驱动程序:
✧Miniport驱动程序(Miniportdrivers)
✧中间驱动程序(Intermediatedrivers)
✧Protocol驱动程序(Protocoldrivers)
Miniport驱动程序可以通过NDIS接口来完成对网卡的操作,同时开放Miniport接口供上层驱动程序调用。
可以用Miniport驱动程序来实现网卡驱动。
中间驱动程序位于Miniport和Protocol驱动程序之间,中间驱动程序同时具有这两种驱动程序接口。
Protocol驱动程序开放Protocol接口供底层驱动程序调用,实现Protocol接口与Miniport接口的对接。
可以用Protocol驱动程序来完成协议驱动。
下面对中间驱动程序的特性进行分析:
中间驱动程序位于Miniport和
升级会员 