C-S架构分布式防火墙系统的研究与实现

摘? 要 随着Interent的飞速发展，网络安全问题越来越受到人们的关注，防火墙己经成网络安全的重要产品，边界防火墙作为一种有效的网络安全技术，提供了对企业内部网络的保护，但在不断扩大的网络规模和日益多样化的网络技术面前，边界防火墙的缺也日益突出，它很难实现网络的安全性和网络性能之间的均衡。 为了 克 服 传统防火墙的缺陷，而又保留其优点，人们提出了分布式防火墙的概念分布式防火墙的本质特征可概括为“策略集中制定分散实施，日志分散产生集中保存安全策略必须有管理员统一制定，策略必须被推到网络的边缘即主机上实施，日志必统一收集、集中管理。 本文首先分析了目前传统防火墙的作用和存在的问题，接着对分布式防火墙的经构、关键技术以及优势进行了深入地研究，并对分布式防火墙的相关技术以及研究领较有代表性的几种模型进行了比较总结。 其次，通过对防火墙策略的定义、实施和分发机制的研究，对分布式防火墙的略管理进行了探讨，并对策略执行器的功能、特点和相关技术做了系统的分析。 再次，通过对策略执行器的实施方案的比较，以及结构，处理流程和稳定性的分并结合我国目前网络的实际状况，实现了一个分布式防火墙系统，给出了系统中包过滤模块的软件实现。 最后，总结了全文并提出了一些值得研究的问题。 关键词：分布式防火墙，包过滤，策略执行器，NDIS 包过滤模块在Widnows环境下利用中间驱动程序实现，开发工具使用Windo，sDDK和 vc++6.0Microsoft在DDK中附带的passthru提供T一个的中间层驱动框架，它对下表 现为一个协议层的驱动，对上表现为一个虚拟网卡，安装Passthru驱动之后，可以在硬 件管理中的网卡中看到一个虚拟网卡。我们将在Pasthru的基础上实现一个对数据包操 作的扩展，从而实现分布式防火墙策略执行器包过滤模块的功能。 4.2 包过滤模块的实现 4.2.1中间层设计原理 在Widows环境下，要实现数据链路级(比如以太帧)需要使用驱动程序，一些高层的接口最多只能捕获到IP层的数据，而不能看到更底层的数据头信息，下图描述了Windows的网络模型(WinNT/ZK)。 处在最底层的是网络接口卡，紧接着是硬件抽象层HAL，AHL负责与真正的硬件打交道，为内核屏蔽了除CPU之外的硬件差异，这就使得内核的大小可以减小，并且增加了可移植性，内核只需要关心的是CPU体系的差异。NDI S库 利 用了HAL，从而也获得了硬件无关性。NDIS输出了许多例程供宏供驱动程序使用，比如Ndissend，NdisRequest，NdisReset等，NDIS驱动程序使用这些例程，从而获得硬件可移植性和源代码兼容性。一般情况下，阳15驱动程序通常需要向NDIS注册一组例程，以便NDIS在适当的时候能够调用驱动程序注册的例程，而驱动程序可以在这些例程里面进行相应的处理:如果驱动程序需要在上边缘与NDIs通信，那么它需要向 NDIS注册一组形如MiniportXxx的例程，使得该驱动程序对于更上层的驱动来说，看起来好像是一个微端口;如果驱动程序需要在下边缘与ND工5通信，那么它需要向NDIS库注册一组形如Protocolxx的例程，使得该驱动程序对于下面的驱动程序来说表现得好像是一个协议驱动程序。