曹天蕊 太原城市職業(yè)技術(shù)學(xué)院

1 引言

校園網(wǎng)絡(luò)往往會(huì)包括校園里所有系部，功能上能使要滿足教師和學(xué)生的大數(shù)量用戶的使用，而且性能上還要更加穩(wěn)定，更具有時(shí)效性。此外，近些年校園網(wǎng)絡(luò)也成為了黑客攻擊的主要目標(biāo)之一，所以校園網(wǎng)絡(luò)的安全性要求也很高，我們?cè)跇?gòu)建校園網(wǎng)絡(luò)的時(shí)候，不僅要考慮功能和性能上滿足用戶的需求，而且要充分做好安全系統(tǒng)的建設(shè)。安全系統(tǒng)的建設(shè)要求系統(tǒng)能夠自動(dòng)識(shí)別非法入侵，做出有效預(yù)警并進(jìn)行有效攔截；對(duì)各種具有破壞性的網(wǎng)絡(luò)病毒，能夠有效監(jiān)測(cè)并查殺；如果系統(tǒng)出現(xiàn)異常，能夠有應(yīng)急機(jī)制快速反應(yīng)并恢復(fù)數(shù)據(jù)[4]。校園網(wǎng)絡(luò)的用戶量大，數(shù)據(jù)庫龐大，使校園網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)顯得極為重要。

2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

防火墻系統(tǒng)總體結(jié)構(gòu)分為三個(gè)模塊（總體模塊劃分見表1）。

表1 PSFW模塊結(jié)構(gòu)

說明：

（a）SPI HOOK動(dòng)態(tài)鏈接庫的模塊，網(wǎng)絡(luò)通信主要使用SOCKET，在系統(tǒng)中數(shù)據(jù)過濾使用的是SPI鉤子函數(shù)。

（b）NDIS HOOK這是一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)函數(shù)，安全系統(tǒng)的網(wǎng)絡(luò)通信，包括驅(qū)動(dòng)、應(yīng)用程序、動(dòng)態(tài)鏈接庫等都使用這個(gè)函數(shù)。

具體的模塊流程圖如圖1所示。

圖1 模塊流程圖

3 功能實(shí)現(xiàn)

本文提出一種將防火墻規(guī)則從語義上壓縮為與原始規(guī)則相同的無沖突規(guī)則的新方案，具體體現(xiàn)在數(shù)據(jù)封包、封包解析和認(rèn)證上。

3.1 封包發(fā)送數(shù)據(jù)

首先，發(fā)送數(shù)據(jù)被攔截后，要調(diào)用對(duì)應(yīng)的管控模塊里的函數(shù)對(duì)NDIS_PACKET網(wǎng)絡(luò)封包進(jìn)行數(shù)據(jù)的提取，從而可以得到網(wǎng)絡(luò)封包的字節(jié)總數(shù)和對(duì)應(yīng)BUFFER的鏈表。然后根據(jù)該鏈表的數(shù)據(jù)判斷對(duì)該數(shù)據(jù)應(yīng)不應(yīng)該進(jìn)行封包。有兩種情況：一種是需要封包，則把提取的數(shù)據(jù)進(jìn)行IP封包獲取協(xié)議類型；另一種情況是不需要封包，直接返回PASS值對(duì)數(shù)據(jù)進(jìn)行放行。根據(jù)封包后的協(xié)議類型可以判斷出對(duì)數(shù)據(jù)處理方式也不同，每一種類型都有得到對(duì)應(yīng)的協(xié)議封包。比如：TCP協(xié)議得到的就是TCP協(xié)議封包，要想得到對(duì)應(yīng)的地址可以對(duì)該封包進(jìn)行調(diào)用CHECK解析并且認(rèn)證。最后，根據(jù)認(rèn)證結(jié)果來判斷發(fā)送數(shù)據(jù)的封包是否結(jié)束。

3.2 封包接收數(shù)據(jù)

安全系統(tǒng)對(duì)接收到的外部發(fā)送來的數(shù)據(jù)封包，同樣也要進(jìn)行封包；調(diào)用Memory模塊的執(zhí)行函數(shù)Check Recv，從而獲取該數(shù)據(jù)的協(xié)議類型。然后對(duì)協(xié)議類型進(jìn)行判斷，如果是IP類型的封包，進(jìn)行上面發(fā)送數(shù)據(jù)的封包的步驟，如果不是可以返回PASS值對(duì)該數(shù)據(jù)進(jìn)行放行。

3.3 解析及認(rèn)證

在進(jìn)行了數(shù)據(jù)的封包之后，接下來的工作最重要的就是解析和認(rèn)證了。

首先通過上兩步的封包，我們知道進(jìn)行數(shù)據(jù)封包的都是TCP協(xié)議。首先，調(diào)用CHECK函數(shù)，對(duì)TCP封包進(jìn)行解析，并將獲取的結(jié)構(gòu)數(shù)據(jù)保存到BUFFER鏈里。由于TCP協(xié)議在網(wǎng)絡(luò)中面向連接，所以可以自動(dòng)發(fā)送同步連接請(qǐng)求。當(dāng)然這時(shí)候系統(tǒng)可以通過獲取的連接的不同來判斷使用對(duì)應(yīng)的哪個(gè)CHECK函數(shù)來進(jìn)行數(shù)據(jù)的認(rèn)證。Nnb和App函數(shù)實(shí)時(shí)監(jiān)聽連接。認(rèn)證結(jié)束后，對(duì)于結(jié)果該放行的數(shù)據(jù)調(diào)用ADD Direction記錄連接；對(duì)于沒有發(fā)出同步連線請(qǐng)求的數(shù)據(jù)包，選用FIND函數(shù)來查詢記錄，如果記錄為真，對(duì)應(yīng)的連線數(shù)據(jù)屬性會(huì)被存放在BUFFER里。此外，還需要進(jìn)行連接請(qǐng)求的判斷，如果要結(jié)束連線，可以通過調(diào)用DELETE函數(shù)來刪除數(shù)據(jù)。這時(shí)系統(tǒng)可以分配來一個(gè)封包緩沖區(qū)，并把封包存放了緩沖區(qū)里，直到PSFW.EXE獲取到認(rèn)證結(jié)果為止。

上述TCP類型的數(shù)據(jù)封包解析及認(rèn)證過程是最完整的，如果數(shù)據(jù)封包是UDP類型的，除了調(diào)用的CHECK函數(shù)應(yīng)選用UDP函數(shù)外，基本步驟類似。兩者最大的不同是UDP它不是面向連接的，不需要根據(jù)連接請(qǐng)求來判斷并做出相應(yīng)的處理，只需要做好封包的認(rèn)證就可以了。

如果數(shù)據(jù)是ICMP是（Internet Control Message Protocol）控制報(bào)文協(xié)議類型的，其解析及認(rèn)證的過程更為簡(jiǎn)單。首先依然是調(diào)用對(duì)應(yīng)CHECK函數(shù)進(jìn)行封包解析，并將結(jié)果存放了BUFFER鏈里。任何調(diào)用函數(shù)判斷網(wǎng)絡(luò)連接方向，進(jìn)行數(shù)據(jù)封包的認(rèn)證。最后還是通過GET函數(shù)獲得一個(gè)封包緩沖區(qū)，存放這次認(rèn)證的結(jié)構(gòu)，直到PSFW.EXE獲取到認(rèn)證結(jié)果為止。

4 系統(tǒng)測(cè)試

4.1 功能測(cè)試

校園網(wǎng)絡(luò)安全系統(tǒng)中數(shù)據(jù)封包的采集、解析和認(rèn)證是包過濾類防火墻最為重要的功能，它可以有效阻攔外部的非法攻擊。該P(yáng)SFW系統(tǒng)防火墻從語義上壓縮為與原始規(guī)則相同的無沖突規(guī)則的新方案中依然實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)封包的過濾。通過系統(tǒng)運(yùn)行時(shí)對(duì)封包的監(jiān)視，如圖2所示，PSFW防火墻的基本功能基本能夠達(dá)到校園網(wǎng)絡(luò)的特殊需求。

圖2 封包監(jiān)視運(yùn)行

4.2 性能測(cè)試

通過該P(yáng)SFW系統(tǒng)防火墻和其他三種知名品牌的防火墻在，端口保護(hù)、入侵檢測(cè)、木馬保護(hù)、禁止通訊等性能指標(biāo)上的比較（結(jié)果如表2所示）可以看出，本文的PSFW系統(tǒng)防火墻基本可以滿足校園網(wǎng)絡(luò)的防御要求和性能指標(biāo)，占用資源較低可以很好的應(yīng)對(duì)多用戶系統(tǒng)，但是在木馬保護(hù)能力方面還比較弱，可操作性還有待加強(qiáng)。

表2 性能對(duì)比表

5 結(jié)論

本文提出了一種將防火墻規(guī)則從語義上壓縮為與原始規(guī)則相同的無沖突規(guī)則的新方案，建設(shè)了一個(gè)更加高效的PSFW校園網(wǎng)絡(luò)安全系統(tǒng)。經(jīng)系統(tǒng)測(cè)試結(jié)果可以看出，本文的PSFW系統(tǒng)防火墻基本可以滿足校園網(wǎng)絡(luò)的功能上的要求和性能指標(biāo)，其中占用資源較低可以很好的應(yīng)對(duì)多用戶系統(tǒng)，但是在木馬保護(hù)能力方面還比較弱，可操作性還有待加強(qiáng)。