無沖突規則校園網絡安全系統的設計

曹天蕊 太原城市職業技術學院

1 引言

校園網絡往往會包括校園里所有系部，功能上能使要滿足教師和學生的大數量用戶的使用，而且性能上還要更加穩定，更具有時效性。此外，近些年校園網絡也成為了黑客攻擊的主要目標之一，所以校園網絡的安全性要求也很高，我們在構建校園網絡的時候，不僅要考慮功能和性能上滿足用戶的需求，而且要充分做好安全系統的建設。安全系統的建設要求系統能夠自動識別非法入侵，做出有效預警并進行有效攔截；對各種具有破壞性的網絡病毒，能夠有效監測并查殺；如果系統出現異常，能夠有應急機制快速反應并恢復數據[4]。校園網絡的用戶量大，數據庫龐大，使校園網絡安全系統的建設顯得極為重要。

2 系統結構設計

防火墻系統總體結構分為三個模塊（總體模塊劃分見表1）。

表1 PSFW模塊結構

說明：

（a）SPI HOOK動態鏈接庫的模塊，網絡通信主要使用SOCKET，在系統中數據過濾使用的是SPI鉤子函數。

（b）NDIS HOOK這是一個網絡驅動函數，安全系統的網絡通信，包括驅動、應用程序、動態鏈接庫等都使用這個函數。

具體的模塊流程圖如圖1所示。

圖1 模塊流程圖

3 功能實現

本文提出一種將防火墻規則從語義上壓縮為與原始規則相同的無沖突規則的新方案，具體體現在數據封包、封包解析和認證上。

3.1 封包發送數據

首先，發送數據被攔截后，要調用對應的管控模塊里的函數對NDIS_PACKET網絡封包進行數據的提取，從而可以得到網絡封包的字節總數和對應BUFFER的鏈表。然后根據該鏈表的數據判斷對該數據應不應該進行封包。有兩種情況：一種是需要封包，則把提取的數據進行IP封包獲取協議類型；另一種情況是不需要封包，直接返回PASS值對數據進行放行。根據封包后的協議類型可以判斷出對數據處理方式也不同，每一種類型都有得到對應的協議封包。比如：TCP協議得到的就是TCP協議封包，要想得到對應的地址可以對該封包進行調用CHECK解析并且認證。最后，根據認證結果來判斷發送數據的封包是否結束。

3.2 封包接收數據

安全系統對接收到的外部發送來的數據封包，同樣也要進行封包；調用Memory模塊的執行函數Check Recv，從而獲取該數據的協議類型。然后對協議類型進行判斷，如果是IP類型的封包，進行上面發送數據的封包的步驟，如果不是可以返回PASS值對該數據進行放行。

3.3 解析及認證

在進行了數據的封包之后，接下來的工作最重要的就是解析和認證了。

首先通過上兩步的封包，我們知道進行數據封包的都是TCP協議。首先，調用CHECK函數，對TCP封包進行解析，并將獲取的結構數據保存到BUFFER鏈里。由于TCP協議在網絡中面向連接，所以可以自動發送同步連接請求。當然這時候系統可以通過獲取的連接的不同來判斷使用對應的哪個CHECK函數來進行數據的認證。Nnb和App函數實時監聽連接。認證結束后，對于結果該放行的數據調用ADD Direction記錄連接；對于沒有發出同步連線請求的數據包，選用FIND函數來查詢記錄，如果記錄為真，對應的連線數據屬性會被存放在BUFFER里。此外，還需要進行連接請求的判斷，如果要結束連線，可以通過調用DELETE函數來刪除數據。這時系統可以分配來一個封包緩沖區，并把封包存放了緩沖區里，直到PSFW.EXE獲取到認證結果為止。

上述TCP類型的數據封包解析及認證過程是最完整的，如果數據封包是UDP類型的，除了調用的CHECK函數應選用UDP函數外，基本步驟類似。兩者最大的不同是UDP它不是面向連接的，不需要根據連接請求來判斷并做出相應的處理，只需要做好封包的認證就可以了。

如果數據是ICMP是（Internet Control Message Protocol）控制報文協議類型的，其解析及認證的過程更為簡單。首先依然是調用對應CHECK函數進行封包解析，并將結果存放了BUFFER鏈里。任何調用函數判斷網絡連接方向，進行數據封包的認證。最后還是通過GET函數獲得一個封包緩沖區，存放這次認證的結構，直到PSFW.EXE獲取到認證結果為止。

4 系統測試

4.1 功能測試

校園網絡安全系統中數據封包的采集、解析和認證是包過濾類防火墻最為重要的功能，它可以有效阻攔外部的非法攻擊。該PSFW系統防火墻從語義上壓縮為與原始規則相同的無沖突規則的新方案中依然實現對網絡數據封包的過濾。通過系統運行時對封包的監視，如圖2所示，PSFW防火墻的基本功能基本能夠達到校園網絡的特殊需求。

圖2 封包監視運行

4.2 性能測試

通過該PSFW系統防火墻和其他三種知名品牌的防火墻在，端口保護、入侵檢測、木馬保護、禁止通訊等性能指標上的比較（結果如表2所示）可以看出，本文的PSFW系統防火墻基本可以滿足校園網絡的防御要求和性能指標，占用資源較低可以很好的應對多用戶系統，但是在木馬保護能力方面還比較弱，可操作性還有待加強。

表2 性能對比表

5 結論

本文提出了一種將防火墻規則從語義上壓縮為與原始規則相同的無沖突規則的新方案，建設了一個更加高效的PSFW校園網絡安全系統。經系統測試結果可以看出，本文的PSFW系統防火墻基本可以滿足校園網絡的功能上的要求和性能指標，其中占用資源較低可以很好的應對多用戶系統，但是在木馬保護能力方面還比較弱，可操作性還有待加強。