Windows防火墻设计.pptVIP

Windows防火墙设计 教学目的 随着网络安全问题日益严重，广大用户对网络安全产品也越来越关注。防火墙作为一种网络安全工具，早已普遍应用，成为广大网络用户的安全保护者。 本课程设计的目的是学习Windows下防火墙设计技术，并实现一个简单的Windows下的防火墙软件。 教学内容 学习Windows下SPI的数据报过滤原理 读懂一个简单的SPI过滤程序 设计和实现一个简单的Windows应用层防火墙 基础知识 了解Windows API程序的一般结构 掌握Windows下Socket编程 了解Windows下DLL的概念(重要) 了解Windows下访问注册表函数 参考书目 Windows防火墙与网络封包截获技术 电子工业出版社，朱雁辉 Programming Windows程式开发设计指南 作 者：Charles Petzold Windows 95 程式设计指南 作 者：侯捷 WINDOWS网络编程技术 MSDN相关资料 讲课内容 讲课时间4学时，实验16学时 Windows下Hook技术 Windows下报文截获技术 Windows下SPI原理 介绍一个简单的SPI截获程序 课程设计要求 开发环境 操作系统为Windows XP 编程工具为VC++ 6.0 提供虚拟机文件，以及例子代码和相关工具。 1.Windows的Hook技术 Hook分为两种 Hook消息 Windows是消息驱动的运行模式，所以Hook消息可以进行很多特殊的处理。这里不详细介绍。参见SetWindowsHookEx函数。（Windows 95 程式设计指南） Hook函数调用 Hook函数调用是指截获特定进程或者系统对某个API函数的调用，使得API的执行流程转向特定的代码，后者称为注入代码，注入代码一般保存在注入DLL中。 1.Windows的Hook技术 Hook函数调用技术 利用Hook消息技术，会自动将注入DLL装入，修改目标程序的导入表，替换为注入函数。 使用注册表注入DLL，主要是某些特定注册表项会被Windows自动调用。 使用远程线程注入DLL，利用LoadLibrary伪装为线程函数，装载注入DLL。 通过覆盖代码进行Hook，即修改一个函数在内存中的映像，嵌入汇编代码，使该函数一执行就转跳到注入函数执行，最霸道的方法。 1.我们学习的Hook技术 比较简单的Hook技术 使用注册表，修改注册表项，安排注入DLL。 在DLL中，利用函数指针来实现Hook。 2.Windows应用层报文截获技术 1、原始套结字(Raw Socket)。 Winsock2以后提供了原始套结字功能，可以在用户态用Winsock函数接收所有流经Winsock的IP包。这种方法在MSDN里面有叙述，是MS官方支持的方法，在网上也有很多资料。但是这种方法只能监听但是不能拦截数据报，所以可以作为网络监视器的选择技术，但是不能实现防火墙等更高要求的功能。另外最致命的缺点就是只能在Winsock层次上进行，而对于网络协议栈中底层协议的数据包例如TDI无法进行处理。对于一些木马和病毒来说很容易避开这个层次的监听。 2、替换系统自带的WINSOCK动态连接库。这种方法可以在很多文章里面找到详细的实现细节。 通过替换系统Winsock库的部分导出函数，实现数据报的监听和拦截。 2.Windows应用层报文截获技术 3、Winsock服务提供者(SPI)。SPI是Winsock的另一面，是Winsock2的一个新特性。起初的Winsock是围绕着TCP/IP协议运行的，但是在Winsock 2中却增加了对更多传输协议的支持。Winsock2不仅提供了一个供应用程序访问网络服务的Windows socket应用程序编程接口（API），还包含了由传输服务提供者和名字解析服务提供者实现的Winsock服务提供者接口（SPI）和ws2_32.dll。 4、Windows2000包过滤接口。由于过滤规则限制太多不灵活而应用不多。 5、网络监视器SDK。MS官方的实时监视分析网络数据的方法。但是由于封装的太复杂使用起来不灵活。 2.Windows核心层报文截获技术 1、TDI接口 2、firewall filter接口 5、NDIS接口 2.Windows报文截获技术 我们重点学习应用层报文截获的第三种方法，这种方法简单、稳定、可靠、功能也比较强大。 3.Windows SPI原理 在Microsoft Windows环境下的网络编程接口就是Windows套接字（Windows Socket，简称Winsock）。Winsock提供了包括TCP/IP、IPX等多种通信协议下的编程接口。indows98、Windows