【正文】 C也是一個(gè)應(yīng)用程序的框架結(jié)構(gòu)，其目的是可以讓程序員直接在此基礎(chǔ)上來建立Windows下的應(yīng)用程序，使得實(shí)現(xiàn)方式相對(duì)SDK來實(shí)現(xiàn)更加簡單。在MFC程序中，并不經(jīng)常直接調(diào)用Windows API；而是從MFC類創(chuàng)建對(duì)象并調(diào)用屬于這些對(duì)象的成員函數(shù)[[] （美）Jeff Prosise. MFC Windows程序設(shè)計(jì)[M]. 【譯者】北京博彥科技發(fā)張有限責(zé)任公司. 北京:清華大學(xué)出版社, 2007:630.]。是應(yīng)用程序編程的框架結(jié)構(gòu)。 MFC簡介本文個(gè)人防火墻的用戶界面采用MFC實(shí)現(xiàn)。使用方法簡單，打開軟件，然后點(diǎn)擊所需操作即可完成驅(qū)動(dòng)的安裝、卸載、開啟和停止。這樣我們在選擇相應(yīng)的系統(tǒng)版本后打開WDK，進(jìn)入控制臺(tái)編譯環(huán)境后就可以進(jìn)入文件所在目錄進(jìn)行編譯了，編譯命令為build。makefile文件幾乎都一樣，不用更改，如本文所用的makefile文件內(nèi)容如下：!INCLUDE $(NTMAKEENV)\另外一個(gè)source文件的內(nèi)容則關(guān)系到這個(gè)驅(qū)動(dòng)模塊要編譯的文件。WDK在編譯工程的時(shí)候，必須在工程目錄下增加兩個(gè)文件，以便WDK可以成功的build。 編譯驅(qū)動(dòng)程序源文件編譯器在編譯驅(qū)動(dòng)內(nèi)核驅(qū)動(dòng)程序源文件時(shí)把中DriverEntry當(dāng)做每個(gè)內(nèi)核模塊的入口點(diǎn)歷程（就是一個(gè)函數(shù)，相當(dāng)于普通C源文件中的main函數(shù)），在加載這個(gè)模塊時(shí)被系統(tǒng)進(jìn)程System調(diào)用一次。WDK的獲得可通過微軟官方網(wǎng)站下載。 WDK內(nèi)核編程工具就像應(yīng)用程序使用開發(fā)包SDK一樣，內(nèi)核編程使用“Windows Driver Kit”，簡稱WDK。 驅(qū)動(dòng)開發(fā)工具本文所要編寫的FilterHook Driver即為一個(gè)Windows內(nèi)核模式驅(qū)動(dòng)，故需要相應(yīng)的內(nèi)核開發(fā)工具——WDK。C語言是一種低級(jí)語言，適合系統(tǒng)編程。同樣著名的C++和Java也由它衍生而來。 C語言簡介C程序設(shè)計(jì)語言是由Dennis Ritchie于1973年設(shè)計(jì)并實(shí)現(xiàn)的。該版本做了重大修改并引入了很多新的特性，如對(duì)最新的C++標(biāo)準(zhǔn)的支持等。 Microsoft Visual Studio 2010Microsoft Visual Studio 2010是微軟公司于2010年推出的最新的Windows平臺(tái)應(yīng)用程序集成開發(fā)環(huán)境，是一款非常流行的IDE。開發(fā)工具用到Microsoft Visual Studio 2010，驅(qū)動(dòng)開發(fā)工具WDK等，編程語言采用C語言，編程的系統(tǒng)環(huán)境為虛擬機(jī)下的Windows XP環(huán)境。一般接收到關(guān)閉請求表明設(shè)備對(duì)象的文件對(duì)象句柄已經(jīng)被釋放。卸載例程負(fù)責(zé)做清理工作，I\O管理器調(diào)用這個(gè)例程時(shí)，將清除當(dāng)前驅(qū)動(dòng)創(chuàng)建的設(shè)備對(duì)象和符號(hào)鏈接名稱，以釋放資源。DriverEntry例程負(fù)責(zé)執(zhí)行驅(qū)動(dòng)程序初始化工作。驅(qū)動(dòng)編程屬于內(nèi)核編程的范疇，內(nèi)核開發(fā)中會(huì)經(jīng)常的創(chuàng)建、打開和操作內(nèi)核對(duì)象，但內(nèi)核對(duì)象不允許用戶直接訪問，它是系統(tǒng)提供的用戶模式下代碼與內(nèi)核模式下代碼進(jìn)行交互的基本接口[[] 王艷平, 張錚. Windows程序設(shè)計(jì)[M]. 北京:人民郵電出版社, 2008:912.]。驅(qū)動(dòng)程序由一系列例程組成，加載驅(qū)動(dòng)或處理I\O請求時(shí)就會(huì)調(diào)用特定的例程。但隨著訪問權(quán)的增加，調(diào)試難度和系統(tǒng)損害幾率也隨之增大。設(shè)備驅(qū)動(dòng)程序的功能就是Windows操作系統(tǒng)給的一個(gè)擴(kuò)展。UDP的檢驗(yàn)和可選，其覆蓋UDP首部和UDP數(shù)據(jù)。UDP首部字段包含源端口號(hào)、目的端口號(hào)、UDP長度、UDP檢驗(yàn)和以及數(shù)據(jù)（可無）幾個(gè)字段。 UDP用戶數(shù)據(jù)報(bào)協(xié)議UDP是一個(gè)簡單的面向數(shù)據(jù)的運(yùn)輸層協(xié)議。序號(hào)用來標(biāo)識(shí)源目端之間的數(shù)據(jù)字節(jié)流。TCP數(shù)據(jù)被封裝在IP數(shù)據(jù)報(bào)中，如圖22所示：IP首部TCP首部TCP數(shù)據(jù)圖 22 TCP數(shù)據(jù)在IP數(shù)據(jù)報(bào)中的封裝TCP首部包含源端口和目的端口的端口號(hào)字段、序號(hào)字段、確認(rèn)序號(hào)字段、首部長度字段、檢驗(yàn)和字段等。本文中對(duì)數(shù)據(jù)報(bào)的處理時(shí)所需注意的主要為版本、服務(wù)類型、協(xié)議、源地址和目的地址字段。IP首部一般長度為20Byte，除非包含有選項(xiàng)字段[[] （美)W Richard Stevens. TCP/IP詳解 卷1:協(xié)議[M].【譯者】范建華,:機(jī)械工業(yè)出版社, 2000:2436.]。所有的TCP、UDP和ICMP數(shù)據(jù)都以IP數(shù)據(jù)報(bào)格式傳輸。下文將對(duì)本文用到的協(xié)議做簡單介紹。TCP\IP協(xié)議族的四個(gè)層次與OSI七層參考模型間的對(duì)應(yīng)關(guān)系如圖21所示：圖 21 TCP\IP協(xié)議族與OSI模型對(duì)應(yīng)關(guān)系應(yīng)用層表示層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層物理層應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層如上圖所示，人們通常（由于對(duì)于TCP\IP協(xié)議族與OSI七層模型不能精確的匹配，故也沒有一個(gè)完全正確的說法來說明他們之間的對(duì)應(yīng)關(guān)系）認(rèn)為OSI模型的應(yīng)用層、表示層和會(huì)話層這上三層在TCP\IP協(xié)議族中是應(yīng)用層，而其最底兩層在TCP\IP協(xié)議族中是鏈路層。TCP\IP協(xié)議族用于各平臺(tái)下計(jì)算機(jī)之間的通信，是當(dāng)今互聯(lián)網(wǎng)通信的基礎(chǔ)。本文采用FilterHook Driver控制數(shù)據(jù)包過濾，故不支持Windows 2000以前的系統(tǒng)。該技術(shù)的優(yōu)點(diǎn)是結(jié)構(gòu)簡單，易于實(shí)現(xiàn)，且能截獲所有的IP數(shù)據(jù)包（包括ICMP包）。另外，最多只能注冊一個(gè)FilterHook Driver。4. 過濾數(shù)據(jù)包。2. 得到指向IP Filter Driver的指針。其工作方式如下：在FilterHook Driver中提供我們自己編寫的回調(diào)（callback）函數(shù)，然后用IP 過濾驅(qū)動(dòng)注冊回調(diào)函數(shù)。這個(gè)驅(qū)動(dòng)文件默認(rèn)未加載，但可以手動(dòng)加載。本文所采用的FilterHook Driver數(shù)據(jù)包攔截過濾驅(qū)動(dòng)技術(shù)在Microsoft 微軟相關(guān)文檔里也只有Windows 2000 DDK中有一些介紹，實(shí)際上它只是擴(kuò)展了IP過濾驅(qū)動(dòng)（IP Filter Driver）的功能，是一種內(nèi)核模式驅(qū)動(dòng)（Kernel Mode Driver）。但對(duì)個(gè)人而言，工作量較大。具有安裝簡單，截包完整全面，安全性高等優(yōu)點(diǎn)，但無法獲得應(yīng)用程序進(jìn)程信息。NDIS（Network Driver Interface Specification）是微軟和3COM公司定制的一套開發(fā)Windows下網(wǎng)絡(luò)驅(qū)動(dòng)程序的標(biāo)準(zhǔn)，為網(wǎng)絡(luò)驅(qū)動(dòng)的開發(fā)提供一套標(biāo)準(zhǔn)接口，使得網(wǎng)絡(luò)驅(qū)動(dòng)程序的跨平臺(tái)性更好。缺點(diǎn)是編程規(guī)范要求苛刻復(fù)雜，難度較大；不容易安裝，安裝出錯(cuò)容易導(dǎo)致系統(tǒng)錯(cuò)誤；也不支持Windows 2000之前的系統(tǒng)。主要在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層對(duì)數(shù)據(jù)包進(jìn)行過濾。另外Windows 2000之前的系統(tǒng)不支持。其優(yōu)點(diǎn)是可以獲取到當(dāng)前進(jìn)程的詳細(xì)信息。1. TDI（Transport Driver Interface）過濾驅(qū)動(dòng)：TDIFilter Driver程序通過將創(chuàng)建的一個(gè)或者多個(gè)設(shè)備對(duì)象掛載到一個(gè)現(xiàn)有的驅(qū)動(dòng)程序（）之上，當(dāng)有應(yīng)用程序或其他驅(qū)動(dòng)程序調(diào)用這一個(gè)或多個(gè)設(shè)備對(duì)象時(shí)，會(huì)首先映射到過濾驅(qū)動(dòng)程序上，然后再由過濾驅(qū)動(dòng)程序傳遞給原來的設(shè)備對(duì)象[[] 方飛, 李兵. Windows系統(tǒng)TDI驅(qū)動(dòng)關(guān)鍵技術(shù)的研究[J]. 通信技術(shù), 2010, 43(7):8991.]。下面簡單介紹各包攔截技術(shù)。 內(nèi)核態(tài)數(shù)據(jù)包攔截技術(shù)內(nèi)核態(tài)下的數(shù)據(jù)包攔截方式有多種：TDI過濾驅(qū)動(dòng)程序、NDIS中間層驅(qū)動(dòng)程序、NDISHook Driver和FilterHook Driver。并且數(shù)據(jù)封包比較完整，便于內(nèi)容過濾。SPI以動(dòng)態(tài)鏈接庫（DLL）的形式工作在應(yīng)用層，開發(fā)者通過安裝自己編寫的SPI程序（服務(wù)提供者接口程序）來處理截獲的基于Socket的網(wǎng)絡(luò)數(shù)據(jù)包以完成過濾。 用戶態(tài)數(shù)據(jù)包攔截技術(shù)用戶態(tài)下的數(shù)據(jù)包攔截技術(shù)主要為Winsock2 SPI（Service Provider Interface）。 防火墻核心過濾技術(shù)網(wǎng)絡(luò)防火墻的核心過濾都是基于數(shù)據(jù)包的攔截技術(shù)之上的。將對(duì)各種主流防火墻核心過濾技術(shù)、TCP\IP和驅(qū)動(dòng)開發(fā)相關(guān)基礎(chǔ)知識(shí)再做簡單介紹。 最后是總結(jié)，致謝等。 第五章主要闡述核心功能的具體實(shí)現(xiàn)和詳細(xì)分析以及系統(tǒng)測試等。 第四章詳細(xì)介紹本文個(gè)人防火墻的系統(tǒng)設(shè)計(jì)和各個(gè)功能模塊。 第三章將介紹本防火墻系統(tǒng)開發(fā)中所用到的開發(fā)環(huán)境和工具。 第二章主要針對(duì)本文所涉及的技術(shù)的相關(guān)知識(shí)理論進(jìn)行簡單的介紹。 第一章主要闡述系統(tǒng)開發(fā)的背景和研究意義、國內(nèi)外研究現(xiàn)狀以及本文總體概述。簡單來說。本課題將采用FilterHook Driver過濾技術(shù)，F(xiàn)ilterHook Driver是從Windows 2000開始提供的一種機(jī)制，其結(jié)構(gòu)簡單，相對(duì)易于實(shí)現(xiàn)，且能截獲所有的IP包。用戶態(tài)下的個(gè)人防火墻主要為基于winsock2 SPI技術(shù)的個(gè)人防火墻（如費(fèi)爾個(gè)人防火墻等）；和內(nèi)核態(tài)下的個(gè)人防火墻主要有：基于TDI過濾驅(qū)動(dòng)的個(gè)人防火墻（如國內(nèi)的天網(wǎng)防火墻和金山網(wǎng)鏢等），基于NDIS中間層驅(qū)動(dòng)（如冰盾防火墻等）的個(gè)人防火墻，基于NDISHOOK的個(gè)人防火墻（如卡巴斯基互聯(lián)網(wǎng)套裝個(gè)人版）和基于Win2K FilterHook Driver的個(gè)人防火墻。所有這些基于windows的個(gè)人防火墻的區(qū)別主要在于它們所采用的對(duì)網(wǎng)絡(luò)數(shù)據(jù)包攔截的核心技術(shù)不同。國外的如Symantec公司的Norton、Network ice公司的BlackIce Defender、Mcafee公司的Cisco、卡巴斯基互聯(lián)網(wǎng)安全套裝個(gè)人版以及Zone Lab公司的Free ZoneAlarm等都是比較著名的個(gè)人防火墻。 具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，在安全性上較前幾種防火墻有本質(zhì)的提高，這也是目前防火墻產(chǎn)品的主要發(fā)展趨勢，這類防火墻的開發(fā)廠商有操作系統(tǒng)的源代碼，可實(shí)現(xiàn)安全內(nèi)核并對(duì)其加固，甚至對(duì)每個(gè)服務(wù)器和子系統(tǒng)都做安全處理，一旦駭客攻破了一個(gè)服務(wù)器，防火墻就將它隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)其他部分構(gòu)成威脅，且透明性良好，易于使用。 建立在通用操作系統(tǒng)上的防火墻，顧名思義，就是將防火墻以軟件或硬件的實(shí)現(xiàn)方式獨(dú)立出來，并配有專用的代理系統(tǒng)，以監(jiān)控所有協(xié)議的數(shù)據(jù)和指令，并能保護(hù)用戶的編程空間和可配置內(nèi)核參數(shù)的設(shè)置，這使得防火墻的安全性和速度得到大幅提高。 用戶化的防火墻即把過濾功能從路由器中獨(dú)立出來加上日志和警告功能，并針對(duì)用戶需求提供相應(yīng)功能，使得防火墻的安全性和性價(jià)比相對(duì)第一代防火墻有所提高。 基于路由器的防火墻即第一代防火墻，上面已做簡單介紹。該類型的防火墻整合了動(dòng)態(tài)包過濾技術(shù)和應(yīng)用代理技術(shù)，本質(zhì)上也可認(rèn)為仍屬于狀態(tài)檢測防火墻。216。它根據(jù)過去的通信信息和應(yīng)用程序狀態(tài)信息動(dòng)態(tài)生成過濾規(guī)則。216。 第二代防火墻由貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey最早于于1989年推出，即電路層防火墻。這類防火墻根據(jù)數(shù)據(jù)包頭信息和過濾規(guī)則來控制數(shù)據(jù)包的過濾，一般用于對(duì)安全性要求不是很高，偏重?cái)?shù)據(jù)處理速度的網(wǎng)絡(luò)路由器上。 國內(nèi)外研究現(xiàn)狀防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品，受到了廣大用戶和機(jī)構(gòu)的青睞，應(yīng)用十分廣泛，自1986年美國Digital公司提出防火墻概念并安裝第一個(gè)商用防火墻以來，防火墻技術(shù)已經(jīng)獲得了飛速的發(fā)展，基于功能劃分，可分為以下階段：216。但目前市場上基于不同包截獲技術(shù)的防火墻的綜合性能參差不齊，故在該平臺(tái)下的防火墻的