Windows軟體防火牆實現技術簡述

來源:互聯網
上載者:User

   從Windows軟體防火牆的誕生開始,這種安全防護產品就在跟隨著不斷深入的駭客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,連接埠號碼以及未經處理的報文原文的封包過濾防火牆,後來出現了能對不同的應用程式設定不同的訪問網路許可權的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監控防火牆;最後,由於近來垃圾外掛程式和流氓軟體的盛行,很多防火牆都在考慮給自己加上攔截流氓軟體的功能。綜上,Windows軟體防火牆從開始的時候單純的一個截包丟包,堵截IP和連接埠的工具,發展到了今天功能強大的整體性的安全套件。

  接下來本文就對一個Windows軟體防火牆應當擁有的這些組件進行一個簡要的技術介紹。

  封包過濾技術

  封包過濾技術是最原始的防火牆所擁有的第一種功能。但是該功能簡單強大,直到現在都是任何一個防火牆必不可少的功能。

  想要在網路資料包到達應用程式之前攔截之,就要在系統的網路通訊協定棧上面安裝過濾鉤子。對Windows NT系列核心來說,可能安裝過濾鉤子的地方大致是這麼幾個,從高層到底層排序:SPI層(早期的天網防火牆 ),AFD層(資料缺乏,尚無例子),TDI層(不少國內牆),NDIS層(ZoneAlarm,Outpost等)。越位於高層,則產品開發難度越低,但是功能越弱,越容易被攻擊者所穿越。由於NDIS層的防火牆具有功能強大,不易被穿透等優點,近來各大防火牆廠商的趨勢是選擇NDIS層來做包過濾。

  目前比較流行的NDIS鉤子技術有兩種。一種是掛接ndis.sys模組的匯出函數,從而能夠在每個ndis protocol註冊的時候截獲其註冊過程,從而替換其send(packets)handler和receive(packet)handler。這個方法的缺點是在第一次安全之後無法立刻生效,必須要重起一次,而且要禁用的話,也必須重起。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。