windows平台的个人防火墙设计研究

王淑静　杨晓明

摘要：防火墙是保护计算机信息数据安全的重要技术保障，其能够在一定程度上抵御网络黑客攻击。个人防火墙可以根据用户的个性化需求来制定安全防护机制，保护个人计算机的使用安全。个人防火墙分为三个主要部分，分别为主程序、应用层过滤模块以及核心层过滤模块，可以过滤不符合用户制定的安全机制的信息、数据与访问，保护计算机的使用安全。

关键词：windows平台；个人防火墙；安全防护

中图分类号：TP311.1 文献标识码：A 文章编号：1007-9416（2018）04-0180-01

在互联网信息时代，计算机网络安全已经成为每一位计算机互联网用户所需要考虑的关键问题。计算机网络一旦出现安全问题，各种黑客网络攻击与病毒会删除修改计算机中的心理数据，入侵偷窃计算机中的关键资料，给用户带来巨大的损失。基于此，在windows平台中建立个人防火墙十分有必要，其能够抵御黑客与病毒攻击，保护网络安全。

1 防火墙与个人防火墙

1.1 防火墙

防火墙是网络安全领域之间信息交互的接入口，根据按照用户的安全管理需求，对出入网络的信息与用户进行监控，并且抵御一定程度上的网络黑客攻击[1]。防火墙是组建的结合，通常处于两个或多个网络之间，其具有以下特点：第一，防火墙必须能够控制坚实所有外部与网络内部进行传输的信息与数据。这是防火墙保护计算机网络安全的基础，只有出入网络的所有信息都通过防火墙，防火墙才能够对数据信息进行监控管理。第二，经过防火墙的数据必须满足制定的安全策略。防护墙之所以可以保护计算机内部网络信息安全则需要制定严格的安全控制管理机制。安全控制管理机制可以根据用户的需求来进行设定，在保证合法数据可以经过防火墙的基础上隔离非法数据。第三，防火墙必须拥有一定的抗攻击能力。防火墙的抗攻击能力是保障网络安全的基础，只有防火墙能够做到抵御各种类型的攻击，才能够长时间保证网络内部的安全。

1.2 个人防火墙

个人防火墙是能够为个人计算机提供防火墙基础功能的软件，其直接在个人计算机上工作，只能够保证一台计算机的安全，免遭网络黑客的非法入侵。个人防火墙可以实现访问控制与安全防御功能。第一，访问控制。众多包含了对各类进出防火墙信息数据处理方式的过滤规则构成了包过滤防火墙的数据过滤规则。这类型的过滤规则运用了缺省处理的方式来对没有定义的数据包进行归类。所设定的过滤规则拥有一定的可拓展性，能够进一步预防与处理冲突机制。第二，安全防御功能。安全防御功能主要通过内容过滤功能来实现。个人防火墙的设计必须要支持交互信息的过滤。防火墙能够防御过滤在通信协议层的信息，根据用户设定的过滤规则对信息数据进行控制[2]。

2 windows平台的个人防火墙设计

2.1 个人防火墙结构

个人防火墙分为三个主要部分，分别为主程序、应用层过滤模块以及核心层过滤模块。其中，主程序是用户进行人机交互的界面，用户可以根据自己用户对个人防火墙进行查看与操作。主程序的主要功能是对网络安全规则进行制定与管理，对应用层过滤模块进行装卸，与核心层过滤模块进行信息传递与交互等。应用层过滤模块可以根据用户设定不同的应用程序访问规则，限制计算机中本地应用程序访问网络，并且及时通过主模块与用户互动反馈。核心过滤模块主要用于记录核心层的工作状态，并且按照用户设计的过滤规则来对核心层的进出封包进行管理。主模块与核心层模块均为通过标准I/O控制代码进行交互的，主模块可以对核心层的网络活动情况进行查看，并且设定核心层的过滤规则[3]。

2.2 个人防火墙设计

主模块是通过mfc编程接口所建立的对话框应用程序。主模块运行中包括了网络访问监管选项、应用层过滤规则、核心层过滤规则以及系統设置。在应用层过滤规则中用户可以针对不同应用程序访问网络的规则进行设定；在核心层过滤规则选项中，用户可以针对特定的IP地质或端口信息来设置不同访问规则；在系统设置选项卡当中，用户可以根据自己的使用需求来安装、卸载应用层模块，并且对防火墙开机启动进行控制。在计算机界面显示的对话框当中，用户可以便捷的对个人防火墙的过滤规则进行设定。在应用层过滤规则页面当中，由于其负责显示应用程序的规则，用户可以自由修改、删除、添加相关规则。因此，管理添加规则对话框的CRuleDlg定义了三个静态成员变量，用于获取对话框的初始数据，然后向调用者传递用户所修改的结果。用户在设置完相关过滤规则后，则可以单击“确定”，CRuleDlg：：OnOk则会被调用，函数会对用户的指令进行检测，然后将用户指令保存在m_RuleItem变量当中，传递回调用者。本次个人防火墙设计中的核心过滤规则页面所采用结构与上述结构基本相同。

应用层DLL模块中DLL主要用于提供分层服务。主模块与应用层模块的交互是通过共享内存的方式进行沟通的。DLL共享数据主要可以分为两个类别，分别为加字DLL就完成初始化，另一类是没有经过初始化的数据，其两者分别定义在.initdata以及.uninitdata段当中。为了使得主模块能够传递DLL中的共享数据，LSP工程倒数了LSPPIoControl函数，以对共享内存中的数据进行访问设置。

核心层SYS模块运用了中间层驱动过滤形式。中间层驱动即为位于协议层驱动与微端口驱动的结构，所有的网络封包都需要经过中间层驱动，即可以被用户设定的过滤规则所拦截。典型的中间层驱动程序有passthru以及mux，本次个人防火墙的核心层模块则是基于passthru的基础上拓展形成的。

3 结语

总的来说，基于Windows的个人防火墙设计对于保障个人计算机的信息数据安全有着至关重要的作用。用户可以根据自己的使用需求来设定安全保护机制，满足个人计算机使用过程中的信息数据安全，及时更新计算机防护漏洞。

参考文献

[1]孙振.基于Windows的个人防火墙设计分析[J].电子技术与软件工程，2016，（12）：202.

[2]罗功银，余铮.基于安全配置督查的状态防火墙设计与实现[J].计算机与数字工程，2016，44（5）：906-911.

[3]于鹏飞，孙春静，薄红岩，彭斌.基于windows平台的网络嗅探器系统的设计与实现[J].科学技术创新，2017，（6）：179.