【導(dǎo)讀】隨著互聯(lián)網(wǎng)的普及，安全問題越來越受到大家的重視。一個安全良好的網(wǎng)絡(luò)環(huán)境能。個人防火墻作為最早出現(xiàn)和最多使用的網(wǎng)絡(luò)安全產(chǎn)品，以軟件的形式存在于計算機(jī)。到對系統(tǒng)的保護(hù)作用。因此，開發(fā)有效的個人防火墻具重要意義。本課題中實現(xiàn)個人防火墻所采用的核心過濾技術(shù)為Filter-HookDriver。編譯，用戶層采用C語言進(jìn)行編寫。用戶界面用MFC實現(xiàn)。數(shù)據(jù)包的過濾，管控規(guī)則設(shè)置和日志功能。充分考慮了個人防火墻所需的基本功能，操。作方便，界面簡單友好。

　　

【正文】 ObjectName, IN ACCESS_MASK DesiredAccess, OUT PFILE_OBJECT *FileObject, OUT PDEVICE_OBJECT *DeviceObject )。 其中的 ObjectName 是設(shè)備名字。 DesiredAccess 是期望訪問的權(quán)限， 實際使用直接填寫 FILE_ALL_ACCESS 即可。 FileObject 是一個返回參數(shù)，即獲得這個設(shè)備對象的同時會得到的一個文件對象（ File Object）。 2. 創(chuàng)建用于設(shè)立過濾函數(shù)的 IRP。通過調(diào)用 IoBuildDeviceIoControlRequest 這個內(nèi)核 API 進(jìn)行設(shè) 定。 這個 API 函數(shù)主要用來構(gòu)造一個用于設(shè)備 I\O 請求的 IRP 包，此包被同步處理，這里我們構(gòu)造 IRP 主函數(shù)碼： IRP_MJ_DEVICE_CONTROL。 3. 向驅(qū)動發(fā)送 IRP，調(diào)用內(nèi)核 API： IoCallDriver，該函數(shù)的作用就是向指定對象發(fā)送 IRP，函數(shù)有 DeviceObject 和 Irp 兩個參數(shù)，顧名思義， DeviceObject 就是設(shè)備對象， Irp 就是傳入需發(fā)送的 IRP 包。 4. 實現(xiàn)回調(diào)函數(shù)。本文定義了一個 filterFunction 函數(shù)實現(xiàn)了對接收到的數(shù)據(jù)包進(jìn)行具體處理的方法。 本文定義了 IP 包、 TCP 包和 UDP 包三個包結(jié)構(gòu)， IP 數(shù)據(jù)包結(jié)構(gòu)體定義如下： typedef struct IPHeader { UCHAR iphVerLen。 // 版本號和頭長度 UCHAR ipTOS。 // 服務(wù)類型 USHORT ipLength。 // IP 數(shù)據(jù)報長度 USHORT ipID。 // 每個數(shù)據(jù)包的唯一標(biāo)識 windows平臺下個人防火墻的設(shè)計與實現(xiàn) 21 USHORT ipFlags。 // 標(biāo)志 UCHAR ipTTL。 // 生存時間 UCHAR ipProtocol。 // 協(xié)議 USHORT ipChecksum。 // 校驗和 ULONG ipSource。 // 源地址 ULONG ipDestination。 // 目的地址 } IPPacket。 TCP 數(shù)據(jù)包結(jié)構(gòu)體 定義 如下： typedef struct _TCPHeader { USHORT sourcePort。 // 源端口 號 USHORT destinationPort。 // 目的端口號 ULONG sequenceNumber。 // 序號 ULONG acknowledgeNumber。 // 確認(rèn)序號 UCHAR dataoffset。 // 數(shù)據(jù)指針 UCHAR flags。 // 標(biāo)志 USHORT windows。 // 窗口大小 USHORT checksum。 // 校驗和 USHORT urgentPointer。 // 緊急指針 } TCPHeader。 UDP 數(shù)據(jù)包結(jié)構(gòu)體定義如下： typedef struct _UDPHeader { USHORT sourcePort。 // 源端口 USHORT destinationPort。 // 目的端口 USHORT len。 // 總長度 USHORT checksum。 // 校驗和 } UDPHeader。 接受到這些數(shù)據(jù)包后， filterFunction 函數(shù)就可以對數(shù)據(jù)包進(jìn)行解析，然后做出windows平臺下個人防火墻的設(shè)計與實現(xiàn) 22 相應(yīng)處理。 filterFunction 函數(shù)的流程 圖如下 所示 ： 驅(qū)動控制 模塊 的實現(xiàn) 本文對 FilterHook 驅(qū)動的控制是通過編寫的控制程序來實現(xiàn)的， 驅(qū)動控制模塊負(fù)責(zé)用戶層對驅(qū)動層的交互，向驅(qū)動層發(fā)送控制信息，實現(xiàn)在用戶層對驅(qū)動層的控制。程序首先進(jìn)行驅(qū)動服務(wù)的安裝，安裝成功后打開驅(qū)動設(shè)備，然后根據(jù)用戶操作提供的IOCTL 代碼對驅(qū)動設(shè)備進(jìn)行控制。 通過該程序，實現(xiàn)了驅(qū)動服務(wù)的安裝，打開驅(qū)動設(shè)備，整體結(jié)構(gòu)如圖 55 所示： 開始 接收到數(shù)據(jù)包 進(jìn)行包頭解析，并與過濾規(guī)則列表中的規(guī)則進(jìn)行匹配 匹配成功 不作處理并放行 阻止丟棄 結(jié)束 Y N 圖 54 filterFunction 函數(shù)流程圖 windows平臺下個人防火墻的設(shè)計與實現(xiàn) 23 驅(qū)動服務(wù)安裝 驅(qū)動控制模塊首先執(zhí)行的是驅(qū)動服務(wù)的安裝，其流程如 圖 56 所示： 1. 打開服務(wù)管理，調(diào)用系統(tǒng) API： OpenSCManager，建立了一個連接到服務(wù)控制管理器，并打開指定的數(shù)據(jù)庫。傳入機(jī)器名字，返回一個指向服務(wù)管理數(shù)據(jù)庫的句柄。 驅(qū)動服務(wù)安裝 打開驅(qū)動設(shè)備 對驅(qū)動設(shè)備進(jìn)行控制 打開服務(wù)管理 打開服務(wù) 服務(wù)已創(chuàng)建 開啟服務(wù) 關(guān)閉句柄 結(jié)束 創(chuàng)建服務(wù) 關(guān)閉句柄 開啟服務(wù) Y N 圖 55 驅(qū)動控制示意圖 圖 56 驅(qū)動服務(wù)安裝 windows平臺下個人防火墻的設(shè)計與實現(xiàn) 24 2. 嘗試打開驅(qū)動服務(wù)，調(diào)用系統(tǒng) API： OpenService，打開驅(qū)動服務(wù)，傳入上一步得到的句柄，如果想要打開的驅(qū)動服務(wù)已經(jīng)存在，則可以直接開啟驅(qū)動服務(wù)，即調(diào)用系統(tǒng) API： StartService，開啟那個驅(qū)動服 務(wù)。如果那個驅(qū)動服務(wù)不存在，則首先得創(chuàng)建那個驅(qū)動服務(wù)，調(diào)用系統(tǒng) API： CreateService，創(chuàng)建驅(qū)動服務(wù)，需要傳入驅(qū)動服務(wù)的名字和驅(qū)動文件的路徑，獲得驅(qū)動服務(wù)句柄。然后再調(diào)用StartServie，開啟這個驅(qū)動服務(wù)。 3. 關(guān)閉句柄。服務(wù)開啟之后，關(guān)閉之前所有的句柄 。 打開驅(qū)動設(shè)備 驅(qū)動服務(wù)安裝成功后，接著在用戶層打開 FilterHook Driver。通過調(diào)用 OpenDevice函數(shù)（封裝 系統(tǒng) API： CreateFile） 來實現(xiàn) 該函數(shù)原型如下： long OpenDevice(LPCTSTR DriverName, HANDLE *DriverHandle)； DriverName為驅(qū)動設(shè)備名， *DriverHandle為設(shè)備句柄（指針）。系統(tǒng) API： CreateFile函數(shù)通過該句柄 傳入驅(qū)動設(shè)備的名字，然后函數(shù)返回設(shè)備句柄 打開驅(qū)動設(shè)備 。 對驅(qū)動設(shè)備進(jìn)行控制 本文防火墻提供了四種操作對驅(qū)動設(shè)備進(jìn)行控制， 分別為 start、 stop、 add 和 clear，分別對應(yīng)啟動防火墻、停止防火墻、添加過濾規(guī)則、清除過濾規(guī)則。 要實現(xiàn)這些操作，首先，定義了 4 種消息碼，此消息碼就是發(fā)送給驅(qū)動層的操作信息，這 4 個消息碼分別是： START_IP_HOOK、 STOP_IP_HOOK、 ADD_FILTER、CLEAR_FILTER。 接著，封裝了四個功能函數(shù)，來實現(xiàn)這四種消息碼的功能請求 ： StartFilter()、StopFilter()、 AddFilter()、 CleanFilter()。其中，這四個功能函數(shù)的主要實現(xiàn)都調(diào)用了系統(tǒng) API： DeviceControl， 這個 API 負(fù)責(zé)向驅(qū)動層發(fā)送控制信息。這個 API 所需參數(shù)主要有三個：驅(qū)動設(shè)備句柄，即上一步中打開驅(qū)動設(shè)備獲取句柄；控制碼：即上面預(yù)先定義的四個控制 碼，不同的控制碼代表通知驅(qū)動執(zhí)行不同的操作；一個緩沖區(qū)，即需要傳遞給驅(qū)動層具體的數(shù)據(jù)。這里，執(zhí)行 ADD_FILTER 時，需要傳遞過濾規(guī)則的結(jié)構(gòu)體，其他情況下這個參數(shù)為空。 windows平臺下個人防火墻的設(shè)計與實現(xiàn) 25 用戶界面 本文所述防火墻 實現(xiàn) 后 的用戶界面如圖 57 所示： 圖 57 個人防火墻用戶界面 本界面用 MFC 設(shè)計，其整體基于對話框。使用到的 控件有：靜態(tài)文本框、文本框、按鈕和列表框。界面設(shè)計遵循直觀，簡單的設(shè)計思路，用戶通過界面可以直觀的了解防火墻的功能：啟動、停止、添加過濾規(guī)則、刪除過濾 規(guī)則。 用戶界面程序的核心實現(xiàn)就是使用 CDriver 類向過濾鉤子驅(qū)動程序發(fā)送幾個設(shè)備控制碼（ START_IP_HOOK、 STOP_IP_HOOK、 ADD_FILTER、 CLEAR_FILTER）。 點擊start 按鈕， 防火墻就根據(jù)該動作向 FilterHook 驅(qū)動程序發(fā)送 START_IP_HOOK 控制碼，這樣防火墻就可以啟動，開始工作。 防火墻啟動后就可以根據(jù)右側(cè)已有規(guī)則進(jìn)行數(shù)據(jù)過濾 。 添加過濾規(guī)則 時 ， 只需在左側(cè)文本框內(nèi)輸入?yún)f(xié)議號、源 \目 IP 地址、源 \目掩碼、源\目端口號等信息 然后點擊 add 按鈕 （ 向 FilterHook驅(qū)動程序發(fā)送 ADD_FILTER 控制碼 ）就可生成 一條規(guī)則并在右側(cè)列表框內(nèi)顯示。通過 clear 按鈕 （ 向 FilterHook 驅(qū)動程序發(fā)送 CLEAR_FILTER 控制碼 ） 清除已有規(guī)則。 點擊 stop 按鈕后， 防火墻就根據(jù)該動作向FilterHook 驅(qū)動程序發(fā)送 START_IP_HOOK 控制碼 以關(guān)閉防火墻 ，停止過濾。 與其他商用防火墻相比， 本個人防火墻 界面和功能都可能相對簡單，但 可以對已知的欲阻止訪問進(jìn)行提前對管控規(guī)則進(jìn)行設(shè)置，這樣的好處是可以 對已知的預(yù)提前阻止的訪問規(guī)則進(jìn)行添加， 起到提前預(yù)防作用。 系統(tǒng)測試 軟件測試就是利用測試工具按照測試方案和流程對產(chǎn)品進(jìn)行功能和性能測試，甚至根據(jù)需要編寫不同的測試工具，設(shè)計和維護(hù)測試系統(tǒng)，對測試方案可能出現(xiàn)的問題進(jìn)行分析和評估。執(zhí)行測試用例后，需要跟蹤故障，以確保開發(fā)的產(chǎn)品適合需求。 windows平臺下個人防火墻的設(shè)計與實現(xiàn) 26 其 中 功能測試就是對產(chǎn)品的各功能進(jìn)行驗證，根據(jù)功能測試用例，逐項測試，檢查產(chǎn)品是否達(dá)到用戶要求的功能 。下面就對本防火墻系統(tǒng)進(jìn)行功能測試。 功能測試也叫黑盒子測試或數(shù)據(jù)驅(qū)動測試，只需考慮各個功能，不需要考慮整個軟件的內(nèi)部結(jié)構(gòu)及代碼 .一般從軟件產(chǎn)品的界面、架構(gòu)出發(fā)，按照需求編寫出來的測試用 例，輸入數(shù)據(jù)在預(yù)期結(jié)果和實際結(jié)果之間進(jìn)行評測，進(jìn)而提出更加使產(chǎn)品達(dá)到用戶使用的要求 測試環(huán)境與工具 本系統(tǒng)屬于 Windows 驅(qū)動開發(fā)范疇，涉及內(nèi)核部分。為避免驅(qū)動錯誤導(dǎo)致系統(tǒng)錯誤錯誤，故整個測試過程在 VMware Workstation 虛擬機(jī)內(nèi)的 Windows XP 系統(tǒng)環(huán)境下進(jìn)行。 VMware Workstation 是一款桌面虛擬計算機(jī)軟件，提供用戶可在單一的桌面上同時運行不同的操作系統(tǒng)，和進(jìn)行開發(fā)、測試 、部署新的應(yīng)用程序的最佳解決方案，故能很好的避免測試中出現(xiàn)的錯誤導(dǎo)致的嚴(yán)重后果。 由于涉 及驅(qū)動層的部分無法直接顯示，因此借助了 DebugView 這個調(diào)試工具來幫助查看驅(qū)動層的輸出顯示。 DebugView 是一款調(diào)試工具軟件，可以顯示計算機(jī)內(nèi)的字符信息，對于本驅(qū)動程序 在內(nèi)核層的運行結(jié)果進(jìn)行查看。 功能測試 1. 測試方法 添加防火墻過濾規(guī)則。設(shè)置需要阻止的 TCP 協(xié)議通信的源、目 IP 地址，設(shè)置好端口號和掩碼等。然后開啟防火墻，訪問添加的規(guī)則內(nèi)的 IP 地址。預(yù)期該規(guī)則指定的源IP 地址和目的 IP 地址之間的 HTTP（端口號 80）通信將被防火墻攔截阻止。 2. 測試過程及結(jié)果 本次測試 一個是 以訪問 黑龍江大學(xué) 校 園網(wǎng) 為例， 黑龍江大學(xué) 校園網(wǎng) 為源地址， IP地址為 ， 由于 目的地址 只有 本機(jī)， 故設(shè)置為忽略， 目的 IP地址 設(shè)置 為 ，依次填入該條測試規(guī)則用例 ，協(xié)議號為 6 表示 TCP 協(xié)議，端口號 默認(rèn)設(shè)置為零（ 因 具體的端口號可能未知） 。 規(guī)則設(shè)置如圖 58 所示： windows平臺下個人防火墻的設(shè)計與實現(xiàn) 27 圖 58 添加過濾規(guī)則測試用例 右側(cè)顯示規(guī)則已經(jīng)添加，表示規(guī)則添加成功。 此時并未啟動防火墻， 過濾驅(qū)動還未注冊，規(guī)則未能生效，故 仍可對規(guī)則所指定 IP進(jìn)行訪問 。 然后點擊 start 按鈕，啟動防火墻，再次 訪問該地址， 預(yù)期過濾規(guī)則生效，可以對規(guī)則指定通信進(jìn)行攔截，實際測試 結(jié)果顯示如下： 圖 59 測試結(jié)果演示圖 測試結(jié)果表明，規(guī)則所指定的該 IP 與本地 IP 間的通信被阻止，即數(shù)據(jù)攔截成功。這是用戶可以直接看到的結(jié)果。由于驅(qū)動層的運行信息無法像用戶層的一樣顯示出來，如果想要看到驅(qū)動層的攔截過濾情況， 需要借助一些工具，本文 借助 DebugView 對防火墻驅(qū)動層進(jìn)行查看，結(jié)果如圖 510 所示： windows平臺下個人防火墻的設(shè)計與實現(xiàn) 28 圖 510 FilterHook Driver 測試結(jié)果圖 通過結(jié)果，可以看到 該數(shù)據(jù)包的詳細(xì)情況，顯示表明，規(guī)則生效，防火墻攔截過濾成功。 另外，再對禁止所有數(shù)據(jù)包進(jìn)行測試。方法是：在規(guī)則里添加一條各項所有為 0 的規(guī)則，然后啟動防火墻。測試結(jié)果：所有的網(wǎng)絡(luò)數(shù)據(jù)通信都被阻止。