分布式防火墻系統(tǒng)中主機防火墻的設計與實現.pdf

1、隨著IT技術的飛速發(fā)展,企業(yè)網絡正迅速普及,同時企業(yè)網絡的安全問題也越來越突出.分布式防火墻為解決企業(yè)網絡的安全問題提出了一整套解決方案.該文分析對比了傳統(tǒng)邊界防火墻和分布式防火墻(DFW)的優(yōu)缺點,從而明確了DFW中主機防火墻的任務及特點.該課題目標是完成一個DFW系統(tǒng)中的主機防火墻軟件.DFW中主機防火墻的主要任務可歸納為以下幾點:網絡數據包攔截、安全策略接收、日志發(fā)送模塊以及"心跳"發(fā)送.該文首先分析了在用戶態(tài)和核心態(tài)實現數據包過

2、濾的幾種方法,包括基于Winsock 2 SPI HOOK和NDIS HOOK的兩種網絡封包截獲等方法.在比較了這幾種方法的優(yōu)劣之后,決定在主機防火墻采用SPI HOOK和NDIS HOOK兩種技術結合實現數據包過濾.其次,根據DFW拓撲結構的需要,設計了"心跳"序列方案,并設計了軟件實現方法.在以上方案設計基礎上,該文實現了基于Windows 2000操作系統(tǒng)的主機防火墻軟件設計.SPI HOOK技術就是在Socket中插入開發(fā)過濾的

3、服務提供者接口程序,它工作在應用層,CPU占用率低,效率高,而且跨Windows平臺.NDIS HOOK是替換掉NDIS函數庫中系統(tǒng)函數的地址,使之指向自己編寫的過濾函數.NDIS HOOK攔截的是較為底層的數據包,不容易被滲透.結合這兩種技術可以攔截所有的網絡數據包.在主機防火墻中,應用程序、動態(tài)鏈接庫以及驅動程序之間要經常交換安全策略、數據包信息等數據,為解決數據頻繁交換問題,該文給出了一種行之有效的方法.另外主機防火墻安全策略、主

4、機入侵檢測安全策略以及"心跳"更新都是策略中心向主機發(fā)送的數據,因此主機防火墻需接收幾種不同類型的數據,為了有效利用主機資源,該文給出了一種解決方法;此時該文給出了一種主機的日志包括防火墻與入侵檢測日志正常上報到日志服務器的技術途徑,合理解決了日志服務器的負載和網絡吞吐量的問題.在主機防火墻經單獨調試之后,將其整合到分布式防火墻系統(tǒng)中進行整體聯(lián)調.聯(lián)調結果證明,開發(fā)的主機防火墻功能樣機已經具備較好的功能,穩(wěn)定性良好,達到了預期的設計目標