|
北京邮电大学的PC防火墙
PC防火墙(Secure PC)是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的桌面防火墙系统。已经通过专家鉴定,获得了公安部颁发的合格检测证书。Secure PC基本与国外最新推出的同类产品持平,有此功能甚至更胜一筹。
从而向用户的角度来说,这种防火墙颇具特色,更适合于中国人的思维习惯和生活习惯。传统意义下的防火墙是从保护局域网的攻击。随着PC机的迅速普及,PC机的安全问题和原有局域网一起都成为了防火墙的保护对象。由于PC机环境和用户的特殊性,不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网内部的主机系统的安全,而PC机的防火墙则必须全面考虑主机系统的网络信息,甚至系统所采用的应用软件,对于某种条件下,还得考虑PC机的多用户问题。
该系统的主要功能是实现对进出主机的IP包的IP地址和协议端口的过滤。考虑到桌面防火墙功能的特殊性,该产品主要由以下几个模块组成:
(1)过滤规则管理。对用户提供方便实用的过滤规则管理界面,使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作,过滤规则表则以密文形式存放,对过滤规则表的访问系统提供用户身份认证的机制。
(2)过滤规则加密处理。以加密形式存放当前防火墙的过滤规则,并利用杂凑函数实现对文件完整性的校验,从而防止未经授权的用户篡改和查看当前防火墙的过滤规则。如果无过滤规则文件,系统将拒绝对任何外部IP的访问。
(3)启用当前过滤规则(Ring 3部分)。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件,将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块,并将缓冲区指针作为调用参数传递。
(4)启用当前过滤规则(Ring 0部分)。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲的指针,并使用NdisMoveMemory函数将存放在常规内存缓冲区中的数据存入供VxD设备驱动程序使用的系统堆中,从而使得这些过滤规则数据可以长期存在,其生命周期和VxD一样。
(5)面向上层网络应用程序的接口服务函数。这些接口函数均是Windows网络应用程序最终需要调用的网络服务。通过这些服务,可以在上层与VxD可访问的系统内存中的包过滤规则,然后应用这些过滤规则对当前IP包进行处理,将处理后的IP包交于原来的Windows网络协议 进行处理,。这样除了不被允许的IP包已经被过滤掉了以外,其他一切防火墙未启动时一样,从而实现了对IP包的成功过滤。
该防火墙系统能够对主机发送和接受的每一个IP包进行检查,获取IP源地址、目标地址和协议端口,并根据事先设定的规则拒绝或允许这个IP包通过。该防火墙能够实现对上层网络应用软件的全透明控制。也就是说,不管用户是选用网景公司的NetScape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等,系统都将提供同样的网络安全服务。该系统的运行有Windows95或Windows98平台上。 |
|
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|