基于NDIS技术的深度包检测防火墙的研究与实现

摘要

近年来，网络攻击呈大幅上升趋势，冲击波、震荡波等蠕虫给网络安全带来了很大的挑战。传统的防火墙技术如包过滤防火墙、状态检测防火墙等，都缺乏应对这些新的攻击的能力。作为网络安全体系的重要一环，防火墙技术也需要不断发展，需要增加新的技术手段来应对新出现的威胁。 基于此，本文提出了新型的、基于TDI层过滤驱动和基于NDIS-HOOK技术的深度包检测双重防护型防火墙架构，并在windows内核实现了防火墙系统。论文的主要工作包括： （1）研究了Windows内核的I/O机制，分析试验了在TDI层、NDIS层捕获、过滤以及控制网络请求包的方法； （2）设计实现了基于TDI层的网络包过滤控制。在TDI层可以获得IP地址、端口、协议、用户、进程等多方面的信息，从而能够实现针对特定用户和特定应用程序的精确控制； （3）设计实现了基于NDIS层，应用深度包检测技术的网络包过滤控制。利用深度包检测技术，全面地分析这些协议内容，以发现网络通信过程中可疑或异常的行为，并结合状态检测技术，判断应用层的会话状态，实现及时阻断； （4）对论文中设计的系统进行了系统测试。包括TDI层的基于应用进程的七元组过滤控制的测试，以及NDIS层的HTTP协议深度包检测控制测试。测试表明，本文提出并实现的基于TDI层过滤驱动和基于NDIS-HOOK技术的深度包检测双重防护型防火墙架构实现了在各自层次的网络访问控制和深度包检测，提高了主机的安全性。