文章编号:1001-2486(2001)06-0078-05增强型个人防火墙!
张森强,唐朝京,高峰,张权杨湘(国防科技大学电子科学与工程学院,湖南长沙410073)(国防科技大学机电工程与自动化工程学院)摘要:信息时代,个人上网机的信息保护越来越受到社会的重视,个人防火墙就应运而生.
首先简单介绍个人防火墙的原理和功能,在特殊IP的过滤和端口、漏洞和进程防护几个方面分析了当前一些典型的个人防火墙产品存在的缺点,提出了EPFW的概念,然后阐述了EPFW对个人防火墙的IP过滤、端口防护、漏洞防护、病毒防护和进程防护进行增强的设计问题、技术难点以及解决方法.
这些都说明对于PC机信息保护而言,EPFW是一个可行的合理的解决方案.
关键词:增强型个人防火墙;IP过滤;病毒防护;进程防护中图分类号:TP39308文献标识码:AEnhancedpersonalfirewallZ~ANGSen-Ciang,TANGChao-jing,GAOFeng,Z~ANGGuan(CollegeofElectronicScienceandEngineering,NationalUniV.
ofdefenseTechnology,Changsha410073,China)YangXiang(CollegeofMechatronicsEngineeringandAutomation,NationalUniV.
ofdefenseTechnology,Changsha410073,China)Abstract:Attheinformationage,moreandmoreaffansionispaidtoPCs'informationprotection.
FirstlytheprinciplesofPersonalFireWallisintroduced,andthedisadVantagesofsometypicalPFWproductsisanalysedinIPfiltering,portprotection,exploitprotection,andprocessprotection.
~ence,theconceptofenhancedpersonalfireWallisbroughtout.
Afterthat,thedes-ignationandtechnicalmethodsofEPFW'sIPfiltering,portprotection,exploitprotection,Virusprotectionandprocessprotec-tionareillustrated.
AlltheseshoWthatEPFWisareasonableWaytosolVetheproblemofPCs'informationprotection.
Keywords:enhancedpersonalfireWall;IPfiltering;Virusprotection;processprotectionInternet自身协议的开放性极大地方便了各种计算机入网,拓宽了共享资源.
然而,由于在早期网络协议设计上对安全问题的忽视,以及使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁.
从1983年FredCohen研制出第一个计算机病毒至今,各种恶意的攻击代码(包括计算机病毒、计算机木马和利用操作系统或网络协议的漏洞的恶意代码)已超过6万余种,"黑客"、"病毒"、"漏洞"等名词对于广大网民来说也不再陌生.
个人上网用户多使用WindoWs操作系统,而WindoWs系统(特别是Win9X系统)本身的安全性就不高,各种WindoWs漏洞不断被公布;并且大多数个人上网机没有置身于得到防护的安全网络内部.
这种应用背景造成了个人防火墙(PersonalFireWall,简称为PFW)的诞生,个人防火墙就是在单机WindoWs系统上采取一些安全防护措施使得本机的信息得到一定的保护.
1pfWPFW(PersonalFireWall)是面向单机操作系统的一种小型安全防护软件,按照一定的规则对ICMP、IGMP、TCP、UdP等报文进行过滤,对网络的信息流和系统的进程进行监视,防止一些恶意的攻击.
PFW工作的平台为WindoWs平台,包括Win9X核心的Win95/Win98/WinME和WinNT国防科技大学学报第23卷第6期JOURNALOFNATIONALUNIVERSITYOFdEFENSETEC~NOLOGYVol23No62001!
收稿日期:2001-09-01基金项目:国家863基金资助项目(863-307-7-5)作者简介:张森强(1978-),男,博士生.
核心的WinNT/Win2000.
PFW的通用结构如图1示.
图1PFW通作结构图Fig.
1PFWgeneralconstructionPFW主要由PFW规则集、PFW进程和PFW驱动程序构成.
PFW规则集为一个可以配置的规则库,它负责对PFW进程和PFW驱动程序的执行规则进行管理,PFW的安全强度性主要依赖于PFW的安全规则设置.
PFW进程工作在Windows的Ring3层,用来引导Ring0层的PFW驱动程序的执行,PFW进程建立则PFW驱动有效,否则无效.
PFW驱动程序是PFW的核心部件,它工作在Windows的核心态,负责截获网络数据并且根据规则集的规则对网络数据进行监控,对网络协议进行分析和处理,过滤掉非授权的网络数据报文,保护本机的网络安全.
2PFW存在的问题(1)IP报文的过滤针对性不强.
绝大部分PFW没有针对性的IP过滤措施,或者仅仅对IP报文的出入进行限制,不过这种限制是针对所有IP报文的.
如果限制了所有IP报文的出入,那么正常的上网功能就无从谈起.
这样的IP过滤方式没有办法对特定的网站(如不健康的网站)进行屏蔽同时不影响对其他网站的访问.
(2)Windows网络端口的安全防护不够.
许多恶意的木马程序(如BO、Glacier)都是通过一些Windows的高端端口(端口号大于1024)来建立一个Server,然后远程用Client进行连接并控制入侵计算机的.
现在的PFW产品都支持端口的检测,但是当检测到非授权的端口时却很少做出相关的反应,并且大部分PFW定义的"非授权端口"只是一些经典的木马程序的常用端口的罗列.
考虑到木马程序(如BO)往往可以配置端口,端口号可能不是默认的.
对于这样的情况,现有的PFW就无能为力了.
(3)Windows的漏洞防护不够.
现在的PFW中如一些加入了一些Windows漏洞的自动防护措施(如天网2.
4版),但是这些漏洞仅仅是针对一些个别的显著漏洞(比如IE、Outlook等),这种对漏洞的防护一方面针对的漏洞太少,另一方面漏洞库的更新不方便,需要等PFW的升级版本.
(4)进程安全性差.
现有的PFW都没有考虑到进程本身的安全性因素,PFW驱动程序采用动态加载的模式,由PFW进程来启动PFW驱动程序,这使得黑客可以采用TerminateProcess方法杀除PFW进程,PFW驱动程序就自动失效,PFW形同虚设.
3EPFW3.
1EPFW的概念所谓EPFW(EnhancedPersonalFirewall,简称为EPFW),就是引入病毒库、漏洞库、内嵌DNS等方法改善PFW的性能,对PFW的IP数据过滤、病毒/木马的检测和防护、漏洞的封堵和进程的安全性等进行有效的增强,达到在单独上网计算机上对个人信息的更安全的保护.
引入内嵌DNS系统,可以对访问的网站进行针对性处理,不影响其他网站的访问;引入端口检测模块,对Windows端口进行实时检测;引入漏洞库,对操作系统的漏洞进行封堵;引入病毒库,与漏洞库、端口检测模块和动态规则库一起共同构成对恶意攻击代码(病毒、木马、恶意脚本等)的安全屏障;另外,引入了静态驱动程序,保证EPFW始终在操作系统的Ring0层运行.
目前PFW产品种类繁多,许多安全产品厂商都推出自己的PFW产品.
下表列举了目前一些PFW产品的主要性能指标以及EPFW在这些方面的设计目标.
97张森强等:增强型个人防火墙产品项目BlackICELockDownNortonIntemetSecurity2001ConsealPCFirewallPccillin2001天网个人防火墙EPFW针对指定IP的过滤无无无无无无有端口检测有有有有有有有程序与网络通信监控无有有有无无有实时关闭各人程序与网络的连接无有无有无无有病毒检测无无有无有无有多用户设置无无有有无无有ActiveX和Java监控无无有无有无有IE密码自动记忆监控无无有无有无有局域网共享支持能力优好优好中差优防御规则的综合性差中较好中较好较差好PFW本身进程保护无无无无无无有系统资源占用情况低较低高中较高低低从上不难看出,EPFW的性能综合了众多的PFW产品的优势,同时还有指定IP过滤、进程保护等特有的功能.
EPFW将端口检测、程序监控和病毒库、漏洞库有机地结合起来,形成良好的综合性防御规则,显然EPFW有比现有PFW更好的安全防护能力.
3.
2EPFW的设计与实现EPFW的设计总体上遵循分层规划、模块分割、集中管理的原则.
EPFW的结构如图2示.
计算机木马库、系统漏洞库、特殊网络地址库和计算机病毒库构成EPFW的知识库,这些库直接或间接地与综合型规则管理模块联系,形成集中的管理规则;进一步,管理规则对网络数据的过滤模块进行管理,过滤掉非授权的数据,形成对网络数据的安全保护.
图2EPFW结构框图Fig.
2EPFWconstructionflowchart3.
2.
1及时更新的知识库在EPFW中,计算机木马库、操作系统漏洞库、特殊网络地址库和计算机病毒库联合构成了EPFW的知识库.
知识库直接决定了EPFW的安全防护的性能.
由于新型的计算机木马/病毒不断出现,操作系统的漏洞不断被发现,另外由于特殊的IP地址可能会随着时间的变化有所变动,这些都要求知识库必须及时地更新.
现在有很多专业的安全网站和一些黑客网站等都不断提供最新的恶意代码信息和操作系统漏洞信息.
需要将这些信息及时归纳、整理、入库.
库的更新可以有两种方法,一种是设计更新的补丁程序,通过这些补丁程序用最新的知识库信息替换旧的知识库;这种方法也是操作系统漏洞打补丁的常08国防科技大学学报2001年第6期用方法,这种方法的实时性不强,特别一些安全意识不高的用户往往不会自己主动去更新知识库.
另一种方法是网上在线更新,可以在EPFW中内置一个自动更新模块,这个模块会主动和EPFW的网站发生联系,查询本机的知识库是否是最新的知识库,如果不是,将自动从EPFW网站上下载相应的更新库,实现及时的知识更新.
图3描述了这种更新知识的方法.
图3网上在线更新知识库的过程Fig.
3OnlineupdatingknOwledgebaseprOccdure3.
2.
2综合性的规则管理综合性规则管理模块负责EPFW的规则管理,它是EPFW的核心模块,工作在上层的知识库和底层的驱动程序之间,一方面负责把上层知识库的信息整理成具体的控制规则来对驱动程序进行控制,实现对网络数据的过滤;另一方面,它对驱动程序返回的信息进行分析,实现对规则有效性的客观评价,从而可以进一步地修改规则,使整个防护更安全.
规则管理的综合性主要体现在对多种规则的协调上.
在漏洞处理方面,规则管理模块判断当前操作系统的类型,在漏洞库中寻找可能出现的系统漏洞和相关的漏洞补丁,并且将补丁打上;在木马防护方面,规则管理模块通过协调端口监视模块和木马端口库,形成对恶意的计算机木马程序和木马端口的判断,及时关闭木马的通信端口,保护本机的信息安全;在特殊IP的过滤方面,规则管理模块接收由内嵌DNS返回的IP地址信息,将这些具体的IP地址交给IP数据过滤模块,把源地址或目的地址包含在特殊网络地址库中的IP报文过滤;在病毒防护方面,文件系统监视模块实时地监视系统文件的改变,将可疑的改变报告规则管理模块,规则管理模块进一步将病毒库查询,如果发现是病毒,则及时关闭病毒程序的执行进程,令病毒丧失传染和发作的机会.
另外,综合性规则管理模块负责对ICMP、IGMP、TCP、UDP等类型报文的分析,它还要对用户自己配置的一些规则进行集中的管理,同时将其获得的各种信息及时整理并写入记录文件.
Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...
CloudCone是一家成立于2017年的国外VPS主机商,提供独立服务器租用和VPS主机,其中VPS基于KVM架构,多个不同系列,譬如常规VPS、大硬盘VPS等等,数据中心在洛杉矶MC机房。商家2021年Flash Sale活动继续,最低每月1.99美元,支持7天退款到账户,支持使用PayPal或者支付宝付款,先充值后下单的方式。下面列出几款VPS主机配置信息。CPU:1core内存:768MB...
月神科技怎么样?月神科技是由江西月神科技有限公司运营的一家自营云产品的IDC服务商,提供香港安畅、香港沙田、美国CERA、华中电信等机房资源,月神科技有自己的用户群和拥有创宇认证,并且也有电商企业将业务架设在月神科技的平台上。目前,香港CN2云服务器、洛杉矶CN2云主机、华中电信高防vps,月付20元起。点击进入:月神科技官方网站地址月神科技vps优惠信息:香港安畅CN2-GIA低至20元核心:2...