【正文】 Microsoft Visual Studio 2020 是微軟公司于 2020 年推出的最新的 Windows 平臺應用程序集成開發(fā)環(huán)境 ，是一款非常流行的 IDE。 開發(fā)工具用到 Microsoft Visual Studio 2020， 驅(qū)動開發(fā)工具WDK 等，編程語言采用 C 語言，編程的系統(tǒng)環(huán)境為虛擬機下的 Windows XP 環(huán)境。一般接收到 關(guān)閉 請求表明設(shè)備對象的文件對象句柄已經(jīng)被釋放。 卸載例程負責做清理工作， I\O 管理器調(diào)用這個例程時，將清除當前驅(qū)動創(chuàng)建的設(shè)備對象和符號鏈接名稱，以釋放資源。 DriverEntry 例程負責執(zhí)行驅(qū)動程序初始化工作。驅(qū)動編程屬于內(nèi)核編程的范疇， 內(nèi)核開發(fā)中會經(jīng)常的創(chuàng)建、打開和操作內(nèi)核對象，但內(nèi)核對象不允許用戶直接訪問，它是系統(tǒng)提供的用戶模式下代碼與內(nèi)核模式下代碼進行交互的基本接口 [10]。 驅(qū)動程序由一系列例程組成，加載驅(qū)動或處理 I\O 請求時就會調(diào)用特定的例程。但隨著訪問權(quán)的增加，調(diào)試難度和系統(tǒng)損害幾率也隨之增大。 設(shè)備驅(qū)動程序的功能就是 Windows 操作系統(tǒng)給的一個擴展。UDP 的檢驗和可選，其覆蓋 UDP 首部和 UDP 數(shù)據(jù)。 UDP 首部字段包 含源端口號、目的端口號、 UDP 長度、 UDP 檢驗和以及數(shù)據(jù)（可無）幾個字段。 UDP 用戶數(shù)據(jù)報協(xié)議 UDP 是一個簡單的面向數(shù)據(jù)的運輸層協(xié)議。序號用來標識源目端之間的數(shù)據(jù)字節(jié)流。 TCP 數(shù)據(jù)被封裝在 IP 數(shù)據(jù)報中，如圖 22 所示： TCP 首部包含源端口和目的端口的端口號 字段、序號字段、確認序號字段、首部長度字段、檢驗和字段等。本文中對數(shù)據(jù)報的處理時所需注意的主要為版本、服務(wù)類型、協(xié)議、源地址和目的地址字段。 IP 首部一般長度為 20Byte，除非包含有選項字段 [8]。所有的 TCP、 UDP 和 ICMP 數(shù)據(jù)都以 IP數(shù)據(jù)報格式傳輸。下文將對本文用到的協(xié)議做簡單介紹。 TCP\IP 協(xié)議族的四個層次與 OSI 七層參考模型間的對應關(guān)系如圖 21 所示： 如上圖所示， 人們通常（由于對于 TCP\IP 協(xié)議族與 OSI 七層模型不能精確的匹配，故也沒有一個完全正確的說法來說明 他們之間的對應關(guān)系）認為 OSI 模型的應用層、表示層和會話層這上三層在 TCP\IP 協(xié)議族中是應用層，而其最底兩層在 TCP\IP 協(xié)議族中是鏈路層。TCP\IP 協(xié)議族用于各平臺下計算機之間的通信，是當今互聯(lián)網(wǎng)通信的基礎(chǔ)。 本文采用 FilterHook Driver 控制數(shù)據(jù)包過濾，故不支持 Windows 2020 以前的系統(tǒng)。 該技術(shù)的優(yōu)點是結(jié)構(gòu)簡單，易于實現(xiàn)，且能截獲所有的 IP 數(shù)據(jù)包（包括 ICMP 包）。 另外，最多只能注冊一個 FilterHook Driver。 4. 過濾數(shù)據(jù)包。 2. 得到指向 IP Filter Driver 的指針。其工作方式如下：在 FilterHook Driver 中提供我們自己編寫的回調(diào)（ callback）函數(shù)，然后用 IP 過濾驅(qū)動注冊回調(diào)函數(shù)。 這個驅(qū)動文件默認未加載，但可以手動加載。 本文所采用的 FilterHook Driver 數(shù)據(jù)包攔截過濾驅(qū)動 技術(shù) 在 Microsoft 微軟相關(guān)文檔里也只有 Windows 2020 DDK 中有 一些 介紹，實際上它只是擴展了 IP 過濾驅(qū)動（ IP Filter Driver）的功能，是一種內(nèi)核模式驅(qū)動（ Kernel Mode Driver）。但對 個人而言，工作量較大。具有安裝簡單，截包完整全面，安全性高等優(yōu)點，但無法獲得應用程序進程信息。NDIS（ Network Driver Interface Specification）是微軟和 3COM 公司定制的一套開發(fā) Windows 下網(wǎng)絡(luò)驅(qū)動程序的標準，為網(wǎng)絡(luò)驅(qū)動的開發(fā)提供一套標準接口，使得網(wǎng)絡(luò)驅(qū)動程序的跨平臺性更好。缺點是編程規(guī)范要求苛刻復雜，難度較大 ；不 容易安裝，安裝出錯容易導致系統(tǒng)錯誤；也不支持 Windows 2020 之前的系統(tǒng)。主要在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層對數(shù)據(jù)包進行過濾。另外 Windows 2020 之前的系統(tǒng)不支持。其優(yōu)點是可以獲取到當前進程的詳細信息。 1. TDI（ Transport Driver Interface）過濾驅(qū)動： TDIFilter Driver 程序通過將創(chuàng)建的一個或者多個設(shè)備對象掛載到一個現(xiàn)有的驅(qū)動程序 （ ） 之上，當有應用程序或其他驅(qū)動程序調(diào)用這一個或多個設(shè)備對象時，會首先映射到過濾驅(qū)動程序上，然后再由過 濾驅(qū)動程序傳遞給原來的設(shè)備對象 [4]。下面簡單介紹各包攔截技術(shù)。 內(nèi)核態(tài)數(shù)據(jù)包攔截技術(shù) 內(nèi)核態(tài)下的數(shù)據(jù)包攔截方式有多種： TDI 過濾驅(qū)動程序、 NDIS 中間層驅(qū)動程序 、NDISHook Driver 和 FilterHook Driver。 并 且數(shù)據(jù)封包比較完整 ，便于內(nèi)容過濾。SPI 以動態(tài)鏈接庫（ DLL）的形式工作在應用層，開發(fā)者通過安裝自己編寫的 SPI 程序（服務(wù)提供者接口程序）來處理截獲的基于 Socket 的網(wǎng)絡(luò)數(shù)據(jù)包以完成過濾。 用戶態(tài)數(shù)據(jù)包攔截技術(shù) 用戶態(tài)下的數(shù)據(jù)包攔截技術(shù)主要為 Winsock2 SPI（ Service Provider Interface）。 防火墻核心過濾技術(shù) 網(wǎng)絡(luò)防火墻的核心過濾都是基于數(shù)據(jù)包的攔截技術(shù)之上的。 將對各種 主流 防火墻核心過濾技術(shù) 、 TCP\IP 和驅(qū)動開發(fā)相關(guān)基礎(chǔ)知識 再做簡單介紹。 ? 最后是 總結(jié) ，致謝 等。 ? 第四章 詳細介紹本文個人防火墻的系統(tǒng)設(shè)計和 各個功能模塊。 ? 第二章主要針對本文所涉及的技術(shù) 的相關(guān)知識理論 進行簡單的介紹。簡單來說，實現(xiàn) FilterHook 就是 對 系統(tǒng) 的接口 的實現(xiàn)。本課題將采用 FilterHook Driver 過濾 技術(shù) ， FilterHook Driver 是從 Windows 2020 開始提供的一種機制，利用 所提供的功能來攔截網(wǎng)絡(luò)數(shù)據(jù)包，其結(jié)構(gòu)簡單，相對易于實現(xiàn)，且能截獲所有的 IP 包。用戶態(tài)下的 個人防火墻主要 為 基于 winsock2 SPI 技術(shù)的個人防火墻 （如費爾個人防火墻等） ；和內(nèi)核態(tài)下的個人防火墻主要有： 基于 TDI 過濾驅(qū)動的個人防火墻 （如國內(nèi)的天網(wǎng)防火墻 和金山網(wǎng)鏢 等 ） ， 基于 NDIS 中間層驅(qū)動 （如冰盾防火墻等） 的個人防火墻 ， 基于NDISHOOK 的個人防火墻 （如卡巴斯基互聯(lián)網(wǎng)套裝個人版） 和基于 Win2K FilterHook Driver 的個人防火墻 。 所有這些基于 windows 的個人防火墻的區(qū)別主要 在于它們所采用的對網(wǎng)絡(luò)數(shù)據(jù)包攔截的核心技術(shù)不同 。國外的如 Symantec 公司的 Norton、 Network ice 公司的 BlackIce Defender、Mcafee 公司的 Cisco、卡巴斯基互聯(lián)網(wǎng)安全套裝個人版 以及 Zone Lab 公司的 Free ZoneAlarm 等都是比較著名的個人防火墻。 ? 具有安全操作系統(tǒng)的防火墻本身就是一個操作系統(tǒng)，在安全性上較前幾種防火墻有本質(zhì)的提高，這也是目前防火墻產(chǎn)品的主要發(fā)展趨勢，這類防火墻的開發(fā)廠商有操作系統(tǒng)的源代碼，可實現(xiàn)安全內(nèi)核并對其加固，甚至對每個服務(wù)器和子系統(tǒng)都做安全處理，一旦駭客攻破了一個服務(wù)器，防火墻就將它隔離在此服務(wù)器內(nèi)，不會對其他部分構(gòu)成威脅，且透明性良好，易于使用。 ? 用戶化的防火墻即把過濾功能從路由器中獨立出來加上日志和警告功能，并針對用戶需求提供相應功能，使得防火墻的安全性和性價比相對第一代防火墻有所提高。 該類型的防火墻整合了動態(tài)包過濾技術(shù)和應用代理windows平臺下個人防火墻的設(shè)計與實現(xiàn) 3 技術(shù)，本 質(zhì)上 也可認為 仍屬于狀態(tài)檢測防火墻。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的 防火墻 產(chǎn)品。 ? 1992 年， USC 信息科學院的 BobBraden 開發(fā)出了基于動態(tài)包過濾（ Dynamic packet filter）技術(shù)后來演變?yōu)?現(xiàn)在 所說的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù) 的第四代防火墻 。 ? 第二代防火墻由貝爾實驗室的 Dave Presotto 和 Howard Trickey 最早于 于 1989年推出，即電路層防火墻。 國內(nèi)外研究現(xiàn)狀 防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品，受到了廣大用戶和機構(gòu)的青睞，應用十分廣泛，自 1986 年美國 Digital 公司提出防火墻 概念并安裝第一個商用防火墻以來，防火墻技術(shù)已經(jīng)獲得了飛速的發(fā) 展，基于功能劃分，可分為以下階段： ? 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用包過濾技術(shù)。但目前市場上基于不同包截獲技術(shù)的防火墻的綜合性能參差不齊，故在該平臺下的防火墻的研究對于推動個人防火墻技術(shù)的發(fā)展具有現(xiàn)實意義。 從而研究個人防火墻也能極大的推動網(wǎng)絡(luò)安全技術(shù)的進步，具有重大的工程意義。本文最終采用FilterHook Driver 數(shù)據(jù)包攔截技術(shù)實現(xiàn)個人防火墻。 而防火墻作為保護用戶上網(wǎng)環(huán)境安全的工具，可以有效避免用戶因遭到網(wǎng)絡(luò)攻擊造成的損失， 因此，在 Windows系統(tǒng)下構(gòu)建個人防火墻是十分必要的。 另一方面 ， Windows 操作系統(tǒng)憑借其簡單易用的操作和強大的技術(shù)支持，幾乎占據(jù)了整個桌面操作系統(tǒng)市場，市場占有率超過 90%。 而個人防火墻 作為 一種隔離控制技術(shù)， 把用戶和公共網(wǎng)絡(luò)分隔開來，通過對流經(jīng)它的網(wǎng)絡(luò)信息進行監(jiān)控過濾，抵御外部攻擊 以 實現(xiàn)安全防護 的安全工具，可以對流經(jīng)它的數(shù)據(jù)包進行過濾 —— 對用戶“允許”的 合法 數(shù)據(jù)訪問放行并對用戶“不允許”的 非法 數(shù)據(jù)進行攔截過濾， 以起到保護個 人計算機的目的 。但隨著互聯(lián)網(wǎng)用戶越來越多，互聯(lián)網(wǎng)在給人們生活帶來便利的同時 ， 也給不少人提供了一條攻擊其他用戶計算機或竊取用戶資料的途徑，這就導致了 普通用戶在網(wǎng)絡(luò)上收到攻擊的現(xiàn)象越來越嚴重，各種入侵攻擊層出不窮，導致人們因網(wǎng)絡(luò)安全而導致的損失越來越大。并對本文的結(jié)構(gòu)和內(nèi)容進行簡單的概括。 FilterHook Driver。s property and privacy. Personal firewall as the earliest and the most used Network Security toolkit, it exists as software, between a puter and its work. In order to protect the system, personal firewall monitors and prevents work packets which are flowing through the pute and unauthorized. Therefore, the development of an effective personal firewall has the important meaning. According to the actual needs of personal firewall, this paper first analyzes different core filtering technologies adopted by all kinds of firewall used in the current market, bined with the ease of their implementation and relative merits. This topic determined how to achieve this system and made the corresponding elaboration. Secondly the function and the core technology of this project is introduced in detail, then introduces and displays the related functions of a personal firewall, and finally summarizes the feelings and experiences in pleting this paper. In this topic, the core filtering technology in realization of personal firewall is adopted by the FilterHook Driver. FilterHook Driver using Visual Studio 2020 and WDK to development which is a driver development tool under the Windows, Using C language to write user layer. The user interface use MFC to achieve. This personal firewall achieved those functions: work packet filtering, control rules set and logging. Fully considering the basic functions of a personal firewall, this system is easy to op