基于Windows内核态个人防火墙的设计与实现

基于Windows内核态个人防火墙的设计与实现

摘要：为了提高防火墙对非法数据包的拦截能力，增强windows 主机上网的安全性，设计并实现了一个基于windows内核态的个人防火墙。它由应用程序和驱动程序2部分组成，其中应用程序负责对数据包进行实时监控以及安全规则实现，并向用户报告防火墙的运行状态或安全事件；基于ndis中间层驱动程序对数据包进行拦截，采用设备输入和输出控制（ioctl）方法实现内核态进程与用户态进程间的通信。测试结果表明，该防火墙能在windows平台下稳定运行，能够有效拦截非法数据包。

关键词：防火墙； ndis；中间层驱动； passthru；进程间通信

引言

防火墙在网络安全防护中具有重要作用，从应用的角度来看，防火墙可以分为企业级防火墙和个人防火墙［1］。前者主要是部署在内、外部网络的边界，对内、外部网络实施隔离，从而保护内部网络的安全：而后者则通过纯软件的方式来实现，安装在个人电脑中，通过对网络数据包拦截、规则的设置和匹配及对网络行为的处理(允许或禁止)来达到保护网络安全的目的。

目前，windows操作系统已广泛应用在个人电脑中，基于 windwos 的个人防火墙技术已经相对成熟，市场上各类产品也很多，国外较署名的产品有：kaspersky anti hacker，mcafree，norton

personal firewall，zonealarm pro和outpost firewall pro等，国内产品中常见的有天网、金山和瑞星等。这些个人防火墙的核心区别在于windows环境下网络数据包拦截方法，通常数据包的拦截可以在windows用户态和核心态进行，在用户态采用winsock2 spi 拦截http，ftp，telnet和pop3等应用层协议网络数据包，这种方法效率较高，容易进行数据包内容过滤，但它只能在winsock层次上拦截网络数据包，拦截能力较弱；与用户态相比，在内核态的数据包拦截能力更强，主要的方法有［2］：基于tdi传输驱动程序（transport drivers interface）、基于ndis钩子驱动（ndis hook driver）和基于ndis中间层驱动［3］等。由于tdi只实现了ip，tcp，udp等协议，对底层协议的数据包也无能为力；ndis钩子通过向ndis.sys注册一个假协议，然后利用接收数据的派遣函数的地址进行挂接后实现数据包拦截，但这种技术对平台的依赖性比较大，需要针对不同的系统平台采用不同的结构。而ndis中间层驱动位于协议驱动层和小端口驱动之间，它能够截获所有的网络数据包。虽然该方法在技术实现上较为复杂，目前的个人防火墙产品仍然较少采用。但是，由于其功能强大，过滤效率高，它依然是未来个人防火墙发展趋势。

本文深入研究基于ndis中间层驱动的数据包拦截方法以及windows内核态驱动程序与用户态应用程序间的通信机制，设计并实现了一种基于windows内核态的个人防火墙系统，它由应用程序

和驱动程序2部分构成，其中，驱动程序负责对非法数据包进行拦截过滤；应用程序负责对数据包进行实时监控，并向用户报告检测结果。

1windows个人防火墙系统结构

1.1系统结构

该防火墙由运行于用户态的应用程序和运行于核心态的驱动过

滤2部分构成，两者之间采用共享内存的方式进行通信，具有arp 欺骗攻击检测与防御、检测与防御dns欺骗和检测网页木马等功能。其系统结构如图1所示，用户态的应用程序通过监控并分析进出网卡接口的数据包，以决定是否将该数据包的发送者列入黑名单并向用户报告。此外，应用程序还是防火墙的gui部分，负责向用户实时报告结果，提供过滤规则参数设置界面。

图1 windows个人防火墙系统结构1.2功能描述

本防火墙实现以下基本功能：

（1）能对arp攻击、dns欺骗和常见的网页木马进行检测和抵御，发现非授权的请求后应能立即拒绝，随时保护上网主机的安全。（2）提供一系列安全规则设置，允许或禁止特定主机的相关服务，用户可根据实际情况修改安全规则或建立黑名单。驱动程序根据安全规则及黑名单进行数据包过滤。

（3）将所有被拦截的访问记录的详细信息写入日志，供用户查询或追踪攻击源。

2windows个人防火墙的关键技术实现

2.1驱动程序设计

ndis中间层过滤驱动（ndis intermediate driver）位于网卡驱动和协议驱动之间［4］，其2个接口：miniport接口和protocol 接口，所有网络数据包均流经ndis中间层。passthru［5］是microsoft公司在windows ddk［6］中提供的一个nids中间层驱动的开发框架，本防火墙的驱动部分就是在该框架的基础上实现的，其主要的作用是根据已定的规则和黑名单对非法数据进行过滤。

2.1.1数据包的获取

非法数据包的过滤是在驱动程序中实现的。在passthru中负责接收数据的派遣例程有2个，分别是ptreceive和ptreceivepacket。在ptreceive和ptreceivepacket两个例程中调用获取数据包例程ptgetpacketcontent，ptgetpacketcontent 例程如下：

2.2应用程序设计

应用程序是防火墙的gui部分，负责向用户报告结果和提示操作的界面。应用程序对数据包监控分析及过滤规则的设置，用户通过防火墙安全规则的设定，向数据包拦截模块传递规则。实时显示数据包的过滤和黑名单的拦截情况。

应用程序部分的核心类共包含：arpptuidlg，capture，detect，checkdefenddnstoof和checkhetspy等5个类，如图2所示。其中：（1） arpptuidlg：防火墙系统总调度显示类，负责其他所有类的创建和相互调度；

（2） capture：捕获数据包类，负责捕获数据包；

（3） detect：检测防御arp攻击［7］类，该类接受capture

类捕获的arp数据包，并对数据包进行检测分析；

（4） checkdefenddnstoof：检测防御dns欺骗类，该类接受capture类捕获的dns数据包，并对数据包进行检测分析；

（5） checkhetspy：检测网页木马类，该类接受capture类捕获的http数据包，并对数据包进行检测分析。

图2应用程序主要类图2.3驱动程序和应用程序的通信

个人防火墙不仅要实现对网络数据包的拦截，还要分析数据包后，根据设定的规则对数据包进行处理，并将保存日志。因此，驱动程序和应用程序就要进行通信以达到信息的交互。驱动程序和应用程序之间通过共享内存的方式实现通信，两者间的内存共享有2种实现方法［89］是通过共享内存对象方法来实现，另一种是通过设备输入和输出控制（ioctl）方法来实现。本文的防火墙采用驱动定义的ioctl方法。ioctl值是个32位的无符号整数。ddk （driver development kits）提供一个ctl_code，其定义如下：ctl_code(devicetype，function，method，access)