简易Windows防火墙的设计与实现

摘要
当今时代是飞速发展的信息时代，计算机与信息处理技术日渐成熟。随着internet和计算机网络技术的蓬勃发展，网络安全问题现在已经得到普遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。本设计实现的防火墙采用ip过滤钩子驱动技术，过滤钩子驱动是内核模式驱动，它实现一个钩子过滤回调函数，并用系统提供的ip过滤驱动注册它，ip过滤驱动随后使用这个过滤钩子来决定如何处理进出系统的数据包。本防火墙由以下几个模块组成：过滤规则添加模块，过滤规则显示模块，过滤规则存储模块，文件储存模块，安装卸载规则模块，ip封包过滤驱动功能模块。用户只需要通过主界面菜单和按钮就可以灵活地操作防火墙，有效地保护windows系统的安全。
关键词：防火墙；过滤钩子；过滤驱动；包过滤
2.2防火墙的基本策略
按照美国国家计算机安全协会（ncsa）的建议，制定安全计划必须包括服务访问策略和防火墙设计策略。服务访问策略应包括控制用户对某些internet服务的访问。另外，用户也需要限制访问的方式，如ppp或slip。在建立服务访问政策时，需要注意两个方式：
1、不允许从internet上访问到用户的网络，但是允许个别用户（设定得到）的网络访问有限internet站点。但必须进行地址伪装；
2、允许有限的从internet上访问到公司网络，如从internet上只能访问公司的/economic/">经济的在现有路由基础结构上增加防火墙功能的机制。顾名思义，包过滤在路由过程中对指定包进行过滤（丢弃）。对过滤的判断通常基于单个包的头部所包含的内容（例如源地址，目的地址，协议，端口等）。
包过滤防火墙通常在操作系统内部实现，并且操作在ip网络和传输协议层。它在对基于ip包头信息实施过滤后，通过对包的路由作决策来保护系统。包过滤防火墙由一组接受或禁止规则列表组成。这些规则明确定义了哪个包将被允许或不允许通过网络接口。防火墙规则使用在上面描述的包头字段来决定是否允许路由一个包通过，以达到它的目的，或则无声息的将包丢弃掉，或阻止包并向它的发送机器返回一个错误状态。这些规则是基于特定的网络接口卡和主机ip地址、网络层源和目的ip地址、传输层tcp和udp服务端口、tcp连接标志、网络层icmp消息类型及这些包是进入的还是发出的。

包过滤功能是所有的防火墙都具备的一个基本功能,实际上防火墙要完成的功能从根本上来说,就是要按照用户的要求来控制网络所流通的数据包,屏蔽那些无益的连接。