VC++Filter-Hook Driver包过滤防火墙的编程实现(2)
防火墙技术在以下方面有比较重要的意义:一是强化网络安全策略;二是对网络存取、访问进行监控审计;三是防止内部信息外泄。
1.1.1 强化网络安全策略
为了提高网络安全,我们可以加强防火墙的功能,以防火墙为中心,完全可以配置一套安全方案。口令、加密、身份认证、审计等等应用,与其分散使用,不如一起往防火墙上配置。相比于以往把网络安全问题都分散到各个主机上面,集中安全的管理防火墙显得更加划算,方便。
1.1.2 对网络存取、访问进行监控审计
对于所有经过防火墙的访问,我们不难实现这样的功能——记录所有访问,并且生成日志文件,这样的话,我们就能统计网络使用情况的数据。每当发现一个访问有可疑的操作时,就可以让防火墙进行报警,并将计算机网络是否受到攻击或者受到监控的信息发给用户。
网络的使用统计以及误用统计也是很重要的信息,我们也可以通过防火墙来收集。网络的使用统计数据对于网络的需求分析、威胁分析来说都有很大的参考价值。
1.1.3 防止内部信息的外泄
防火墙另外一个重要的用处是防止内部信息外泄。我们应该清楚,敏感网络的安全问题往往能对全局网络产生巨大的影响,为了减少这种影响,我们就可以利用防火墙来实现。用防火墙来划分内部网络,隔离内部网络的重点网段就可以实现这一点。另外对于内部网络,隐私也颇为关键。内部网络中任何一个细节都可能包含于安全相关的线索,从而可能导致安
全漏洞暴漏,进而引发危险。对于那些可能暴露出安全漏洞的内部网络细节,我们能通过防火墙隐蔽掉相关的服务。
1.2 包过滤技术简介
包过滤技术(IP Filtering or packet filtering)的原理就是通过监控网络上流入流出的IP包,按照过滤规则,过滤IP包,允许符合规则的包通过,拒绝不符合规则的包。
数据包过滤又称“报文过滤”,这是一种非常基本的过滤方法,在第一代防火墙诞生时就得到应用。它是对通信过程中的数据进行过滤,符合预先规定的安全策略的数据包可以通过,不符合安全策略的数据包会被丢弃。安全策略对于防火墙来说是重中之重,它是由对通信类型、端口以及各种网络应用等等因素构成的。安全策略属于安全控制技术的一种,编写包过滤防火墙,安全策略即过滤规则是非常重要的。
包过滤防火墙对于数据的过滤的过程如下所示:
(1)读取安全策略;
(2)按照安全策略,对于发送来的或者接收到的数据包包头进行分析;
(3)如果数据包包头的源IP地址、目的IP地址、源端口、目的端口、协议类型以及数据包传递方向符合安全策略,通过该数据包,否则,丢弃。
由于只分析数据包的 源IP地址、目的IP地址、源端口、目的端口、协议类型以及数据包传递方向这些信息,包过滤防火墙的处理速度还是很快的,配置也相对简单。
包过滤防火墙有很多优点,简单实用,传输性能高,成本低。它的功能实现对用户是透明的,在一定程度上,能以较小的代价保证系统的安全,适合在对系统的安全要求并非很高的环境下使用。当然,在对于安全性能要求较高的场所,包过滤防火墙就不太适用。当然,有优必有劣,包过滤防火墙有两个缺点:一是IP包的源地址、目的地址、端口号的信息都是在数据包头部,容易被窃听或者伪造;二是一旦有非法访问突破防火墙,主机软件和配置漏洞就很轻易的被攻击。
2 总体设计方案
2.1 总体设计目标