王淑靜　楊曉明

摘要：防火墻是保護(hù)計(jì)算機(jī)信息數(shù)據(jù)安全的重要技術(shù)保障，其能夠在一定程度上抵御網(wǎng)絡(luò)黑客攻擊。個(gè)人防火墻可以根據(jù)用戶的個(gè)性化需求來制定安全防護(hù)機(jī)制，保護(hù)個(gè)人計(jì)算機(jī)的使用安全。個(gè)人防火墻分為三個(gè)主要部分，分別為主程序、應(yīng)用層過濾模塊以及核心層過濾模塊，可以過濾不符合用戶制定的安全機(jī)制的信息、數(shù)據(jù)與訪問，保護(hù)計(jì)算機(jī)的使用安全。

關(guān)鍵詞：windows平臺(tái)；個(gè)人防火墻；安全防護(hù)

中圖分類號(hào)：TP311.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）04-0180-01

在互聯(lián)網(wǎng)信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為每一位計(jì)算機(jī)互聯(lián)網(wǎng)用戶所需要考慮的關(guān)鍵問題。計(jì)算機(jī)網(wǎng)絡(luò)一旦出現(xiàn)安全問題，各種黑客網(wǎng)絡(luò)攻擊與病毒會(huì)刪除修改計(jì)算機(jī)中的心理數(shù)據(jù)，入侵偷竊計(jì)算機(jī)中的關(guān)鍵資料，給用戶帶來巨大的損失。基于此，在windows平臺(tái)中建立個(gè)人防火墻十分有必要，其能夠抵御黑客與病毒攻擊，保護(hù)網(wǎng)絡(luò)安全。

1 防火墻與個(gè)人防火墻

1.1 防火墻

防火墻是網(wǎng)絡(luò)安全領(lǐng)域之間信息交互的接入口，根據(jù)按照用戶的安全管理需求，對(duì)出入網(wǎng)絡(luò)的信息與用戶進(jìn)行監(jiān)控，并且抵御一定程度上的網(wǎng)絡(luò)黑客攻擊[1]。防火墻是組建的結(jié)合，通常處于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間，其具有以下特點(diǎn)：第一，防火墻必須能夠控制堅(jiān)實(shí)所有外部與網(wǎng)絡(luò)內(nèi)部進(jìn)行傳輸?shù)男畔⑴c數(shù)據(jù)。這是防火墻保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)，只有出入網(wǎng)絡(luò)的所有信息都通過防火墻，防火墻才能夠?qū)?shù)據(jù)信息進(jìn)行監(jiān)控管理。第二，經(jīng)過防火墻的數(shù)據(jù)必須滿足制定的安全策略。防護(hù)墻之所以可以保護(hù)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)信息安全則需要制定嚴(yán)格的安全控制管理機(jī)制。安全控制管理機(jī)制可以根據(jù)用戶的需求來進(jìn)行設(shè)定，在保證合法數(shù)據(jù)可以經(jīng)過防火墻的基礎(chǔ)上隔離非法數(shù)據(jù)。第三，防火墻必須擁有一定的抗攻擊能力。防火墻的抗攻擊能力是保障網(wǎng)絡(luò)安全的基礎(chǔ)，只有防火墻能夠做到抵御各種類型的攻擊，才能夠長時(shí)間保證網(wǎng)絡(luò)內(nèi)部的安全。

1.2 個(gè)人防火墻

個(gè)人防火墻是能夠?yàn)閭€(gè)人計(jì)算機(jī)提供防火墻基礎(chǔ)功能的軟件，其直接在個(gè)人計(jì)算機(jī)上工作，只能夠保證一臺(tái)計(jì)算機(jī)的安全，免遭網(wǎng)絡(luò)黑客的非法入侵。個(gè)人防火墻可以實(shí)現(xiàn)訪問控制與安全防御功能。第一，訪問控制。眾多包含了對(duì)各類進(jìn)出防火墻信息數(shù)據(jù)處理方式的過濾規(guī)則構(gòu)成了包過濾防火墻的數(shù)據(jù)過濾規(guī)則。這類型的過濾規(guī)則運(yùn)用了缺省處理的方式來對(duì)沒有定義的數(shù)據(jù)包進(jìn)行歸類。所設(shè)定的過濾規(guī)則擁有一定的可拓展性，能夠進(jìn)一步預(yù)防與處理沖突機(jī)制。第二，安全防御功能。安全防御功能主要通過內(nèi)容過濾功能來實(shí)現(xiàn)。個(gè)人防火墻的設(shè)計(jì)必須要支持交互信息的過濾。防火墻能夠防御過濾在通信協(xié)議層的信息，根據(jù)用戶設(shè)定的過濾規(guī)則對(duì)信息數(shù)據(jù)進(jìn)行控制[2]。

2 windows平臺(tái)的個(gè)人防火墻設(shè)計(jì)

2.1 個(gè)人防火墻結(jié)構(gòu)

個(gè)人防火墻分為三個(gè)主要部分，分別為主程序、應(yīng)用層過濾模塊以及核心層過濾模塊。其中，主程序是用戶進(jìn)行人機(jī)交互的界面，用戶可以根據(jù)自己用戶對(duì)個(gè)人防火墻進(jìn)行查看與操作。主程序的主要功能是對(duì)網(wǎng)絡(luò)安全規(guī)則進(jìn)行制定與管理，對(duì)應(yīng)用層過濾模塊進(jìn)行裝卸，與核心層過濾模塊進(jìn)行信息傳遞與交互等。應(yīng)用層過濾模塊可以根據(jù)用戶設(shè)定不同的應(yīng)用程序訪問規(guī)則，限制計(jì)算機(jī)中本地應(yīng)用程序訪問網(wǎng)絡(luò)，并且及時(shí)通過主模塊與用戶互動(dòng)反饋。核心過濾模塊主要用于記錄核心層的工作狀態(tài)，并且按照用戶設(shè)計(jì)的過濾規(guī)則來對(duì)核心層的進(jìn)出封包進(jìn)行管理。主模塊與核心層模塊均為通過標(biāo)準(zhǔn)I/O控制代碼進(jìn)行交互的，主模塊可以對(duì)核心層的網(wǎng)絡(luò)活動(dòng)情況進(jìn)行查看，并且設(shè)定核心層的過濾規(guī)則[3]。

2.2 個(gè)人防火墻設(shè)計(jì)

主模塊是通過mfc編程接口所建立的對(duì)話框應(yīng)用程序。主模塊運(yùn)行中包括了網(wǎng)絡(luò)訪問監(jiān)管選項(xiàng)、應(yīng)用層過濾規(guī)則、核心層過濾規(guī)則以及系統(tǒng)設(shè)置。在應(yīng)用層過濾規(guī)則中用戶可以針對(duì)不同應(yīng)用程序訪問網(wǎng)絡(luò)的規(guī)則進(jìn)行設(shè)定；在核心層過濾規(guī)則選項(xiàng)中，用戶可以針對(duì)特定的IP地質(zhì)或端口信息來設(shè)置不同訪問規(guī)則；在系統(tǒng)設(shè)置選項(xiàng)卡當(dāng)中，用戶可以根據(jù)自己的使用需求來安裝、卸載應(yīng)用層模塊，并且對(duì)防火墻開機(jī)啟動(dòng)進(jìn)行控制。在計(jì)算機(jī)界面顯示的對(duì)話框當(dāng)中，用戶可以便捷的對(duì)個(gè)人防火墻的過濾規(guī)則進(jìn)行設(shè)定。在應(yīng)用層過濾規(guī)則頁面當(dāng)中，由于其負(fù)責(zé)顯示應(yīng)用程序的規(guī)則，用戶可以自由修改、刪除、添加相關(guān)規(guī)則。因此，管理添加規(guī)則對(duì)話框的CRuleDlg定義了三個(gè)靜態(tài)成員變量，用于獲取對(duì)話框的初始數(shù)據(jù)，然后向調(diào)用者傳遞用戶所修改的結(jié)果。用戶在設(shè)置完相關(guān)過濾規(guī)則后，則可以單擊“確定”，CRuleDlg：：OnOk則會(huì)被調(diào)用，函數(shù)會(huì)對(duì)用戶的指令進(jìn)行檢測，然后將用戶指令保存在m_RuleItem變量當(dāng)中，傳遞回調(diào)用者。本次個(gè)人防火墻設(shè)計(jì)中的核心過濾規(guī)則頁面所采用結(jié)構(gòu)與上述結(jié)構(gòu)基本相同。

應(yīng)用層DLL模塊中DLL主要用于提供分層服務(wù)。主模塊與應(yīng)用層模塊的交互是通過共享內(nèi)存的方式進(jìn)行溝通的。DLL共享數(shù)據(jù)主要可以分為兩個(gè)類別，分別為加字DLL就完成初始化，另一類是沒有經(jīng)過初始化的數(shù)據(jù)，其兩者分別定義在.initdata以及.uninitdata段當(dāng)中。為了使得主模塊能夠傳遞DLL中的共享數(shù)據(jù)，LSP工程倒數(shù)了LSPPIoControl函數(shù)，以對(duì)共享內(nèi)存中的數(shù)據(jù)進(jìn)行訪問設(shè)置。

核心層SYS模塊運(yùn)用了中間層驅(qū)動(dòng)過濾形式。中間層驅(qū)動(dòng)即為位于協(xié)議層驅(qū)動(dòng)與微端口驅(qū)動(dòng)的結(jié)構(gòu)，所有的網(wǎng)絡(luò)封包都需要經(jīng)過中間層驅(qū)動(dòng)，即可以被用戶設(shè)定的過濾規(guī)則所攔截。典型的中間層驅(qū)動(dòng)程序有passthru以及mux，本次個(gè)人防火墻的核心層模塊則是基于passthru的基礎(chǔ)上拓展形成的。

3 結(jié)語

總的來說，基于Windows的個(gè)人防火墻設(shè)計(jì)對(duì)于保障個(gè)人計(jì)算機(jī)的信息數(shù)據(jù)安全有著至關(guān)重要的作用。用戶可以根據(jù)自己的使用需求來設(shè)定安全保護(hù)機(jī)制，滿足個(gè)人計(jì)算機(jī)使用過程中的信息數(shù)據(jù)安全，及時(shí)更新計(jì)算機(jī)防護(hù)漏洞。

參考文獻(xiàn)

[1]孫振.基于Windows的個(gè)人防火墻設(shè)計(jì)分析[J].電子技術(shù)與軟件工程，2016，（12）：202.

[2]羅功銀，余錚.基于安全配置督查的狀態(tài)防火墻設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2016，44（5）：906-911.

[3]于鵬飛，孫春靜，薄紅巖，彭斌.基于windows平臺(tái)的網(wǎng)絡(luò)嗅探器系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)創(chuàng)新，2017，（6）：179.