個人防火牆:簡介,優缺點,發展背景,類型,網路層防火牆,套用層防火牆,代理服務,產

在計算機計算領域中，防火牆(英文：firewall)是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火牆是一台專屬的硬體或是架設在一般硬體上的一套軟體。個人防火牆是防止您電腦中的信息被外部侵襲的一項技術，它能在您的系統中監控、阻止任何未經授權允許的數據進入或發出到網際網路及其他網路系統。

基本介紹

中文名：個人防火牆
外文名：Personal FireWall
屬性：網路設備

簡介,優缺點,發展背景,類型,網路層防火牆,套用層防火牆,代理服務,產品,理論背景,主要功能,網路數據包處理,安全規則設定,日誌,數據類型,開發重點,補充,

簡介

個人防火牆(Personal FireWall)顧名思義是一種個人行為的防範措施，這種防火牆不需要特定的網路設備，只要在用戶所使用的PC 上安裝軟體即可。由於網路管理者可以遠距離地進行設定和管理，終端用戶在使用時不必特別在意防火牆的存在，極為適合小企業等和個人等的使用。

個人防火牆把用戶的計算機和公共網路分隔開，它檢查到達防火牆兩端的所有數據包，無論是進入還是發出，從而決定該攔截這個包還是將其放行，是保護個人計算機接入網際網路的安全有效措施。

常見的個人防火牆有：天網防火牆個人版、瑞星個人防火牆、360木馬防火牆、費爾個人防火牆、江民黑客防火牆和金山網標等。

個人防火牆產品如著名Symantec公司的諾頓、Network Ice公

司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等，都能幫助您對系統進行監控及管理，防止電腦病毒、流氓軟體等程式通過網路進入您的電腦或在您未知情況下向外部擴散。這些軟體都能夠獨立運行於整個系統中或針對對個別程式、項目，所以在使用時十分方便及實用。

優缺點

優點：成本低，不需要額外的硬體源，可以抵擋內部的攻擊。

缺點：個人防火牆主要的缺點是對公共網路只有一個物理接口，個人防火牆本身可能會容易受到威脅。

發展背景

Internet的出現及其迅速發展給現代人的生產和生活都帶來了前所未有的飛躍，它促進了信息的廣泛交流，大大提高了工作效率，豐富了人們的精神生活。然而，隨著計算機網路技術的突飛猛進，網路安全的問題已經日益突出地擺在各類用戶的面前，網路的安全性成為Internet上最為熱門的焦點之一，它關係著Internet的進一步發展和普及，甚至關係著Internet的生存。隨著網路安全問題日益嚴重，網路安全產品逐漸被人們重視起來。

防火牆作為最早出現的和使用量最大的網路安全產品，受到了用戶和許多研發機構的青睞。防火牆對網路系統具有很好的保護作用。它通過對流經它的網路信息進行監控以實現安全防護。比如用禁止特定連線埠的方法設定對外通信來防止木馬；或者禁止來自特殊站點的訪問，從而防止來自入侵者的所有通信。從套用角度來看防火牆基本上可以分為網路級的防火牆和個人防火牆兩種。個人用戶對網路安全的需要在不斷增加，而Windows作業系統是使用最為廣泛的PC作業系統，因此如何在Windows作業系統下開發個人防火牆變的越來越重要了。個人防火牆就是一個位於計算機和它所連線的網路之間的軟體。該計算機與網路的所有通信均要經過此防火牆。在Windows作業系統下比較著名的防火牆有國外的ZoneAlarm，NortonPersonalFirewall以及SygatePersonalFirewall等，國內的有天網防火牆等產品。個人防火牆有很多優點：它能對公共網路中的單個系統提供保護；它不需要額外的硬體資源就能增加對系統的保護；它在抵擋外來攻擊的同時，還可以抵擋來自內部的攻擊；另外，它的價格相對來說十分的便宜。尤其是對一個使用Modem或ISDN/ADSL上網的家庭用戶來說，一個硬體防火牆實在是太昂貴或者太麻煩（需要煩瑣的配置），而使用個人防火牆足以能夠隱蔽用戶暴露在網路上的信息，對其提供足夠的安全保護。

類型

個人防火牆，通常是在一部計算機上具有封包過濾功能的軟體，如ZoneAlarm及Windows XP SP2後內置的防火牆程式。而專用的防火牆通常做成網路設備，或是擁有2個以上網路接口的計算機。以作用的TCP/IP 堆疊區分，主要分為網路層防火牆和套用層防火牆兩種，但也有些防火牆是同時運作於網路層及套用層。

網路層防火牆

網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協定堆疊上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項“否定規則”就予以放行。作業系統及網路設備大多已內置防火牆功能。

較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源連線埠號、目的 IP 地址或連線埠號、服務類型(如 WWW 或是 FTP)。也能經由通信協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

套用層防火牆

套用層防火牆是在TCP/IP堆疊的“套用層”上運作，使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。套用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。

防火牆藉由監測所有的封包並找出不符規則的屬性，可以防範計算機蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜（因軟體種類極其繁多），所以大部分的防火牆都不會考慮以這種方法設計。

XML防火牆是一種新型態的套用層防火牆。

代理服務

代理服務（Proxy）設備（可能是一台專屬的硬體，或只是普通計算機上的一套軟體）也能像應用程式一樣回應輸入封包(例如連線要求)，同時封鎖其他的封包，達到類似於防火牆的效果。

代理會使從外部網路竄改一個內部系統更加困難，且只要對於代理有良好的設定，即使內部系統出現問題也不一定會造成安全上的漏洞。相反地，入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的；代理人偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP欺騙（IP spoofing）試圖通過小包對目標網路。

防火牆經常有網路地址轉換(NAT) 的功能，並且主機被保護在防火牆之後共同地使用所謂的“私人地址空間”，定義在RFC 1918

防火牆的適當的配置要求技巧和智慧型，它要求管理員對網路協定和計算機安全有深入的了解，因小差錯可使防火牆不能作為安全工具。

產品

個人防火牆產品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等，都能幫助您對系統進行監控及管理，防止特洛伊木馬、spy-ware等病毒程式通過網路進入您的電腦或在您未知情況下向外部擴散。

理論背景

3.1Windows2000組件

在Windows2000作業系統環境中，一部分組件運行在用戶模式

下，其他的則運行在核心模式下。檔案系統、中間層和最低層驅動程式被顯示在下方圖，其中包含了核心模式I/O管理器。如下圖所示，Windows2000作業系統包括了許多核心模式組件，它們被精心地定義為功能相互獨立的組件。核心I/O管理、即插即用管理（PlugandPlayManager）、電源管理（PowerManager）、硬體抽象層（HardwareAbstractionLayer，HAL）、配置管理（ConfigurationManager）、存儲管理（MemoryManager）、運行支持（ExecutiveSupport）和過程結構（ProcessStructure）組件。其他組件可包括對象管理（ObjectManager）和安全引用監控器（SecurityReferenceMonitor）。即插即用（PnP）管理和電源管理是Windows2000中的新組件。他們僅僅支持Windows2000驅動程式和WDM驅動程式。

3.2Windows2000中的驅動程式種類

1）在Windows2000作業系統中，有兩個基本的驅動程式種類。

A．用戶模式驅動程式（例如Win32VDD，它是為MS-DOS 應用程式開發的專用設備）或另一個被保護的子系統的驅動程式，並且用戶模式驅動程式是與子系統細節相關的。

B．針對邏輯、虛擬或物理設備的核心模式驅動程式。

這些驅動程式作為WindowsNT執行體部分來運行：WindowsNT是基礎的、基於微核心的作業系統，它支持一個或更多的保護子系統。一些Windows2000核心驅動程式也是WDM驅動程式，它們符合Windows驅動程式模型（WDM）。所有的WDM驅動程式是PnP驅動程式，並支持電源管理。

核心模式驅動程式類型有三種基本類型的核心模式驅動程式。每一種都有稍微不同的結構和完全不同的功能。

a. 最高層驅動程式，例如系統支持的FAT、NTFS和CDFS檔案系統驅動程式（FSD）。最高層驅動程式通常依賴於較低層的驅動程式支持。雖然特定的檔案系統驅動程式可能從一個或多箇中間層驅動程式獲得支持，但是每個檔案系統驅動程式最終依賴一個或多個下層外圍設備驅動程式的支持。

b. 中間層驅動程式，例如虛擬磁碟、鏡像、或指定設備類型的類

驅動程式。中間層驅動程式也需要較低層驅動程式的支持。例如，PnP功能驅動程式是中間層驅動程式，它們在一個I/O匯流排上控制特定的外圍設備，這個I/O匯流排是由PnP硬體匯流排驅動程式來控制的。

c. 最低層驅動程式，例如PnP硬體匯流排驅動程式，它控制一個I/O匯流排，這個匯流排連了一些外圍設備在上面。最低層驅動程式不依賴於較低層驅動程式，而是控制物理外圍設備。

3.3核心模式驅動程式的網路結構

微軟的Windows2000支持三種基本的核心模式網路驅動程式

1) 微連線埠NIC驅動程式。一個微連線埠的驅動程式直接控制一個網路接口卡(NIC)，並且為高層的驅動程式提供接口。

2) 中間層驅動程式。一個中層協定驅動程式連線了上層協定，例如早期的傳輸驅動程式和一個微連線埠。開發中層協定驅動程式的一個普遍原因是用它在早期的傳輸驅動程式和一個微連線埠之間實現轉換。一個微連線埠控制了一個NIC，對於傳輸驅動程式來說，它是一個陌生的新介質類型。

3) 協定驅動程式。一個上層協定驅動程式向網路用戶提供服務，它實現了TDI接口，或者也許是為另一個上層的特殊套用而提供的接口。這種驅動程式在它的下邊界提供了一個協定接口，用來向低層驅動程式傳送和接收數據包。

主要功能

個人防火牆的主要功能為網路數據包處理、安全規則和日誌。

網路數據包處理

在Internet上，所有往來的信息都被分割成許許多多一定長度的信

息包，信息包的包頭包括IP源地址、IP目標地址、內裝協定(TCP、UDP、ICMP、或IPTunnel)、TCP/UDP目標連線埠、ICMP訊息類型、包的進入接口和出接口等信息。個人防火牆會檢查所有通過的信息包中的包頭信息，並按照用戶所設定的安全過濾規則過濾信息包。如果防火牆設定某一IP為危險的話，從這個地址而來的所有信息都會被防火牆禁止掉。由此可見，個人防火牆核心技術是實現在Windows作業系統下的網路數據包攔截。

安全規則設定

防火牆的安全規則就是對計算機所使用的區域網路、網際網路的內制協定進行設定，使網路數據包處理模組可以根據設定對網路數據包進行處理，從而達到系統的最佳安全狀態。個人防火牆軟體的安全規則方式可分為兩種：一種是定義好的安全規則。就是把安全規則定義成幾種方案，一般分為低、中、高三種，這樣不懂網路協定的用戶，也可以根據自己的需要靈活的設定不同的安全方案。還有一種就是用戶自定義的安全規則。這需要用戶在了解了網路協定的情況下，根據自己的安全需要對某個協定進行單獨設定。

日誌

日誌是每個防火牆軟體必不可少的主要功能，它記錄著防火牆軟體監聽到發生的一切事件，比如入侵者的來源、協定、連線埠、時間等等。日誌的實現比較簡單，將監聽到的事件信息寫入檔案即可。

數據類型

用戶態（user-mode）和核心態（kernel-mode）。

1）用戶態（user-mode）。

在用戶態下進行網路數據包的攔截有三種方法：WinsockLayeredServiceProvider(LSP)、Windows2000包過濾接口、替換系統自帶的WINSOCK動態連線庫。在用戶態下

進行數據包攔截最致命的缺點就是只能在Winsock層次上進行，而對於網路協定棧中底層協定的數據包無法進行處理。因此，這些方法並不適合個人防火牆。

2）核心態（kernel-mode）。

a)TDI過濾驅動程式（TDIFilterDriver）。當應用程式要傳送或接收網路數據包的時候，都是通過與協定驅動所提供的接口來進行的。協定驅動提供了一套系統預定義的標準接口來和應用程式之間進行互動。因此，只需要開發一個過濾驅動來截獲這些互動的接口，就可以實現網路數據包的攔截。在Windows2000/NT下，ip,tcp,udp是在一個驅動程式里實現的，叫做tcp.sys，這個驅動程式創建了5個設備：DeviceRawIp，DeviceUdp，DeviceTcp，DeviceIp，DeviceMULTICAST。應用程式所有的網路數據操作都是通過這些設備進行的。因此，我們只需要開發一個過濾驅動來截獲這些互動的接口，就可以實現網路數據包的攔截。另外，TDI層的網路數據攔截還可以得到操作網路數據包的進程詳細信息，這也是個人防火牆的一個重要功能。但是，TDI傳輸驅動程式有一個缺陷，TDIFilterdriver屬於Upperdriver,位於TcpIP.sys之上，這就意味著由TcpIP.sys接收並處理的數據包不會傳送到上層，從而無法過濾某些接收的數據包，例如ICMP包。ICMP的應答包直接由TcpIP.sys生成並回應，而上面的過濾驅動程式全然不知。另外，該方法需要在系統核心層編寫驅動程式，需要編寫人員對Windows操作核心層的工作機制非常熟悉，同時，驅動程式對代碼質量要求非常高，稍有不慎就會使系統崩潰，

b)Win2kFilter-HookDriver。這是從Windows2000開始系統所提供的一種驅動程式，該驅動程式主要是利用Ipfiltdrv.sys所提供的功能來攔截網路數據包。Filter-HookDriver的結構非常簡單，易於實現。但是正因為其結構過於簡單，並且依賴於Ipfiltdrv.sys，Microsoft並不推薦使用Filter-HookDriver。

c)NDISHookDriver。該方法在Windows2000/xp下是非公開的，因此這種方法對平台的依賴性比較大，需要在程式中判斷不同的作業系統版本而使用不同的方法。

d)NDIS中間層驅動程式（NDISIntermediateDriver）。NDIS（NetworkDriverInterfaceSpecification）是Microsoft和3Com公司開發的網路驅動程式接口規範的簡稱，它支持如下三種類型的網路驅動程式：微連線埠驅動程式、中間層驅動程式（IntermediateDriver）和協定驅動程式。其中中間層驅動介於協定層驅動和小連線埠驅動之間，其功能非常強大，可以提供多種服務，能夠截獲所有的網路數據包（以太幀），過濾微連線埠驅動程式，實現特定的協定或其他諸如數據包加密、認證等功能。綜上所述，在NDIS中間層進行網路數據包截獲的方法結構規範，功能強大，該技術極其適合個人防火牆所採用。

中間層驅動程式（NDIS）的內部結構

NDIS支持3種驅動：微連線埠驅動，中間層驅動和協定驅動。

1）微連線埠驅動。就是網卡驅動，它負責管理網卡，包括通

過網卡傳送和接受數據，它也為上層驅動提供接口。

2）中間層驅動。它通常位於微連線埠驅動和傳輸協定驅動之間，是基於鏈路層和網路層之間的驅動，由於中間層驅動在驅動層次中的中間層位置，它必須與其上層的協定和下層的微連線埠驅動通信，並且導出兩種協定的函式。雖然中間層驅動導出MINIPORTXX函式，但它並不真正的管理物理網卡，而是導出一個或者多個虛擬適配器，上層協定可以綁定到上面。對於協定驅動來說，中間層導出的虛擬適配器看起來像一個物理網卡，當它向這個虛擬適配器傳送封包或者請求時，中間層驅動將這些封包和請求傳播到下層微連線埠驅動；當下層微連線埠驅動向上指示接收封包或者狀態時，中間層驅動向上到綁定虛擬適配器上的協定驅動。中間層驅動的主要作用就是過濾封包，其優點是能夠截獲所有的網路數據包。

3）協定驅動，即網路協定。它位於NDIS體系的最高層，經常用作實現傳輸協定堆疊的傳輸驅動中的最底層驅動。傳輸協定驅動申請封包，從傳送應用程式將數據複製到封包中，通過調用NDIS函式將這些封包傳送到下層驅動。協定驅動也是提供了一個協定接口來接收來自下層驅動的封包。傳輸協定驅動將收到的封包傳遞給相應的客戶應用程式。在下層，協定驅動與中間層微連線埠驅動互動。協定驅動調用NDISXX函式傳送封包，讀取和設定下層驅動維護的信息，使用作業系統服務。協定驅動也要導出一系列的入口點，NDIS調用它來指示封包的接受，指示下層驅動的狀態，或者是和其他協定驅動的通信。

中間層內部的工作流程

1) 中間層對數據包的管理

中間層驅動程式從高層驅動程式接收數據包描述符，並在網路上傳送，該包描述符與一個或多個鏈式數據緩衝區相關聯。中間層驅動程式能夠對數據進行重新打包，並使用新的數據包描述符進行數據傳輸，也可以直接將數據包傳遞給低層驅動程式，如果驅動程式下邊界面向無連線，可調用NdisSend或NdisSendPackets函式完成該功能，如果驅動程式下邊界是面向連線的，可調用NdisCoSendPackets函式完成此項功能。中間層驅動程式也可以進行一些操作改變鏈式緩衝區的內容，或者調整內入數據包相對於其他傳送任務的傳送次序或傳送定時。但是，即使中間層驅動程式只是向下層傳遞上層引入的數據報，例如，僅僅只是對數據包進行計數，也必須分配新的數據包描述符，並且要管理部分或者全部新的包結構。

每一個中間層驅動程式都必須分配自己的包描述符來代替高層的數據包描述符。如果中間層驅動程式要把數據包從一種格式轉化為另一種格式，也必須分配緩衝區描述符來映射用於複製轉配數據的緩衝區，該緩衝區由中間層驅動程式進行分配。如果有與複製的包描述符相關的OOB數據，那么可以將這些數據複製到與包描述符（中間層驅動程式分配的）相關的新OOB數據塊，其過程是，首先，用NDIS_OOB_DATA_FROM_PACKET宏獲取OOB數據區的指針，然後，調用disMoveMemory將其內容移入與新包描述符相關的OOB數據區。該驅動程式也能夠用NDIS_GET_PACKET_XXX或NDIS_SET_PACKET_XXX宏從與老的包描述符相關的OOB數據區中，讀取相關的內容，並寫入與新包描述符相關的OOB數據區。

包描述符通過調用以下NDIS函式進行分配

a)調用NdisAllocatePacketPool或者NdisAllocatePacketPoolEx，為固定尺寸包描述符（由呼叫器指定數量）分配並初始化一組非可分頁池。

b)調用NdisAllocatePacket函式，從NdisAllocatePacketPool(Ex)已經分配的池中分配包描述符。根據中間層驅動程式目的的不同，驅動程式能夠對引入包描述符連線的緩衝區進行重新打包。例如，中間層驅動程式可以在接下來的情況下分配包緩衝池、對引入包數據重新打包.如果中間層驅動程式從高層協定驅動程式接收到的數據緩衝區，比低層介質能夠傳送的單個緩衝區更大，那么中間層驅動程式必須將引入的數據緩衝分割成更小的、滿足低層傳送要求的數據緩衝。中間層驅動程式在將傳送任務轉交低層驅動程式之前，可以通過壓縮或加密數據方式來改變內入數據包的長度。調用以下NDIS函式分配上面所要求的緩衝區：

NdisAllocateBufferPool獲取用於分配緩衝區描述符的句柄；

NdisAllocateMemory或NdisAllocateMemoryWithTag分配緩衝區；

c)調用NdisAllocateBuffer分配和設定緩衝區描述符，映射由NdisAllocateMemory(WithTag)分配的緩衝區，並連結到NdisAllocatePacket分配的包描述符上。驅動程式可以通過調用NdisChainBufferAtBack或NdisChainBufferAtFront函式，將緩衝區描述符和包描述符進行連結。調用NdisAllocateMemory(WithTag)返回的虛擬地址和緩衝區長度，將被傳遞給NdisAllocateBuffer函式來初始化其所映射的緩衝區描述符。符合典型要求的包描述符能夠在驅動程式初始化時根據要求進行分配，也可以通過ProtocolBindAdapter函式調用來實現。如果必要或者出於性能方面的考慮，中間層驅動程式開發者可以在初始化階段，分配一定數量的包描述符和由緩衝區描述符映射的緩衝區，這樣，就為ProtocolReceive複製內入數據（將向高層驅動程式指示）預先分配了資源，也為MiniportSend或MiniportSendPackets向相鄰低層驅動程式傳遞引入的傳送數據包，準備了可用的描述符和緩衝區。如果在中間層驅動程式複製接收/傳送數據到一個或多個緩衝區時，最末的一個緩衝的實際數據長度比緩衝區的長度小，那么，中間層驅動程式將調用NdisAdjustBufferLength把該緩衝區描述符調節到數據的實際長度。當該包返回到中間層驅動程式時，應再次調用該函式將其長度調節到完整緩衝區的實際尺寸。

2)下邊界面向無連線的中間層驅動程式的工作流程

通過ProtocolReceivePacket函式，從低層NIC驅動程式以完整數據包形式接收內入數據，該數據包由NDIS_PACKET類型的包描述符指定，也能夠通過將內入數據指示給ProtocolReceive函式，並將數據複製到中間層驅動程式提供的數據包中。下邊界面向連線的中間層驅動程式總是用ProtocolCoReceivePacket函式，從低層NIC驅動程式接收數據作為一個完整的數據包。

在如下情況下，中間層驅動程式能夠保持對接收數據包的所有權：當下邊界面向無連線的中間層驅動程式向ProtocolReceivePacket函式指示完整數據包時,當下邊界面向連線的中間層驅動程式向ProtocolCoReceivePacket函式指示數據包時，其中DIS_PACKET_OOB_DATA的Status成員設定為除NDIS_STATUS_RESOURCES以外的任何值。在這些情況下，中間層驅動程式能夠保持對該包描述符和其所描述的資源的所有權，直到所接收數據處理完畢，並調用NdisReturnPackets函式將這些資源返還給低層驅動程式為止。如果ProtocolReceivePacket向高層驅動程式傳遞其所接收的資源，那么至少應該用中間層驅動程式已經分配的包描述符替代引入包描述符。根據中間層驅動程式目的的不同，當其從低層驅動程式接收完整數據包時，將有幾種不同的包管理策略。例如，以下是幾種可能的包管理策略：複製緩衝區內容到中間層驅動程式分配的緩衝區中，該緩衝區被映射並連結到一個新的包描述符，向低層驅動程式返回該輸入包描述符，然後可以向高層驅動程式指示新的數據包；創建新的包描述符，將緩衝區（與被指示包描述符相關聯）連結到新的包描述符，然後將新的包描述符指示給高層驅動程式。當高層驅動程式返回包描述符時，中間層驅動程式必須拆除緩衝區與包描述符間的連結，並將這些緩衝區連結到最初從低層驅動程式接收到的包描述符，最後向低層驅動程式返還最初的包描述符及其所描述的資源。即使下邊界面向無連線的中間層驅動程式支持ProtocolReceivePacket函式，它也提供ProtocolReceive函式。當低層驅動程式不釋放包描述符所指示資源的所有權時，NDIS將調用ProtocolReceive函式，當這類情況出現時，中間層驅動程式必須複製所接收的數據到它自己的緩衝區中。對於下邊界面向連線的中間層驅動程式，當低層驅動程式不釋放包描述符所指示資源的所有權時，則將數據包的NDIS_PACKET_OOB_DATA的Status成員設為NDIS_STATUS_RESOURCES，然後驅動程式的ProtocolCoReceivePacket函式必須將接收到數據複製到自己的緩衝區中

5）中間層驅動過濾數據包的原理

NDIS中間層驅動程式在NDIS中起著轉發上層驅動程式送來的數據包，並將其向下層驅動程式傳送的接口功能。當中間層驅動程式從下層驅動程式接收到數據包時，它要么調用NdisMXxxIndicateReceive函式，要么調用NdisMindicateReceivePacket函式向上層指示該數據包中間層驅動程式通過調用NDIS打開和建立一個對低層NIC驅動程式或者NDIS中間層驅動程式的綁定。中間層驅動程式提供MiniportSetInformation和MiniportQueryInformation函式來處理高層驅動程式的設定和查詢請求，某些情況下，可能還要將這些請求向低層NDIS驅動程式進行傳遞，如果其下邊界是面向無連線的可通過調用NidsRequest實現這一功能，如果其下邊界是面向連線的則通過調用NidsCoRequest實現該功能。中間層驅動程式通過調用NDIS提供的函式向網路低層NDIS驅動程式傳送數據包。例如，下邊界面向無連線的中間層驅動程式必須調用NdisSend或NdisSendPackets來傳送數據包或者包數組，而在下邊界面向連線的情況下就必須調用NdisCoSendPackets來傳送包數組數據包。如果中間層驅動程式是基於非NDISNIC驅動程式的，那么在調用中間層驅動程式的MiniportSend或Miniport(Co)SendPackets函式之後，傳送接口對NDIS將是不透明的。NDIS提供了一組隱藏低層作業系統細節的NdisXxx函式和宏。例如，中間層驅動程式可以調用NdisMInitializeTimer來創建同步時鐘，可以調用NdisInitializeListHead創建鍊表。中間層驅動程式使用符合NDIS標準的函式，來提高其在支持Win32接口的微軟作業系統上的可移植性。

在防火牆的設計中，最核心的部分應該是數據包的過濾。

其他的功能都是建立在數據包過濾的基礎之上，如：入侵檢測功能和郵件檢測功能都是建立在數據包過濾的基礎之上。數據包過濾中主要是IP包頭的分析，例如：在乙太網中，得到的數據報大致是如下結構，以太幀頭14個位元組，放在PUCHAR結構數組的第0個元素到第13個元素中，其中前六個位元組是目的MAC地址，然後六個位元組源MAC地址，然後兩個位元組是協定類型，通常的協定類型有0x080x00->IP，0x080x06->ARP，0x080x35->RARP，所以，可以通過數組的第12個元素和第13個元素來判斷協定類型。過濾規則就是在這個基礎之上建立。如果要過濾特定協定，只要在相應的位元組讀取數據，判斷是否符合要過濾的規則就可以了，當然實際的過濾規則要複雜的多的多，比如對指定的連線埠指定的IP的過濾。

開發重點

（1）需要完整的了解WINDOWS的運行原理，這包括核心部分和用戶部分。

（2）需要熟悉用DDK，完整的了解網路驅動的運行機制。

（3）需要了解防火牆的工作原理。

補充

所謂個人防火牆，應該具有普及概念，一般的用戶無法做到了解WINDOWS的運行原理。

所以，個人防火牆的普及性及易用性，應該有所凸顯。

重點和難點的提出，只適合針對開發者而言。

個人防火牆