電子商務 個人防火牆

{

\"code\": 200,

\"title\": \"\",

\"content\": \"在計算機計算領域中，防火牆(英文：firewall)是一項協助確保資訊保安的設備，會依照特定的規則，允許或是限製傳輸的數據通過。防火牆是一台專屬的硬體或是架設在一般硬體上的一套軟件。1.個人防火牆是防止您電腦中的資訊被外部侵襲的一項技術，在您的係統中監控、阻止任何未經授權允許的數據進入或發出到互聯網及其他網絡係統。\\n\\n個人防火牆(PersonalFireWall)顧名思義是一種個人行為的防範措施，這種防火牆不需要特定的網絡設備，隻要在用戶所使用的PC上安裝軟件即可。由於網絡管理者可以遠距離地進行設置和管理，終端用戶在使用時不必特彆在意防火牆的存在，極為適合小企業等和個人等的使用。\\n\\n個人防火牆把用戶的計算機和公共網絡分隔開，它檢查到達防火牆兩端的所有數據包，無論是進入還是發出，從而決定該攔截這個包還是將其放行，是保護個人計算機接入互聯網的安全有效措施。\\n\\n常見的個人防火牆有：天網防火牆個人版、瑞星個人防火牆、360木馬防火牆、費爾個人防火牆、江民黑客防火牆和金山網標等。\\n\\n個人防火牆產品如著名Symantec公司的諾頓、NetworkIce公\\n\\n個人防火牆\\n\\n個人防火牆司的BlackIceDefender、McAfee公司的思科及ZoneLab的free\\n\\nZoneAlarm等，都能幫助您對係統進行監控及管理，防止電腦病毒、流氓軟件等程式通過網絡進入您的電腦或在您未知情況下向外部擴散。這些軟件都能夠獨立運行於整個係統中或針對對個彆程式、項目，所以在使用時十分方便及實用。\\n\\n個人防火牆的優缺點\\n\\n優點：成本低，不需要額外的硬體源，可以抵擋內部的攻擊\\n\\n缺點：個人防火牆主要的缺點是對公共網絡隻有一個物理介麵，個人防火牆本身可能會容易受到威脅\\n\\n防火牆類型\\n\\n個人防火牆，通常是在一部計算機上具有封包過濾功能的軟件，如ZoneAlarm及WindowsXPSP2後內置的防火牆程式。而專用的防火牆通常做成網絡設備，或是擁有2個以上網絡介麵的計算機。以作用的TCP\\/IP堆棧區分，主要分為網絡層防火牆和應用層防火牆兩種，但也有些防火牆是同時運作於網絡層及應用層\\n\\n網絡層防火牆\\n\\n網絡層防火牆可視為一種IP封包過濾器，運作在底層的TCP\\/IP協議堆棧上。我們可以以枚舉的方式，隻允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能隻能套用內置的規則。\\n\\n我們也能以另一種較寬鬆的角度來製定防火牆規則，隻要封包不符合任何一項“否定規則”就予以放行。現在的操作係統及網絡設備大多已內置防火牆功能。\\n\\n較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源號、目的IP地址或號、服務類型(如WWW或是FTP)。也能經由通訊協議、TTL值、來源的網域名稱或網段...等屬性來進行過濾。\\n\\n應用層防火牆\\n\\n個人防火牆\\n\\n應用層防火牆是在TCP\\/IP堆棧的“應用層”上運作，使用瀏\\n\\n個人防火牆覽器時所產生\\n\\n的數據流或是使用FTP時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器裡。\\n\\n防火牆藉由監測所有的封包並找出不符規則的屬性，可以防範計算機蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜（因軟件種類極其繁多），所以大部分的防火牆都不會考慮以這種方法設計。\\n\\nXML防火牆是一種新型態的應用層防火牆。\\n\\n代理服務\\n\\n代理服務（Proxy）設備（可能是一台專屬的硬體，或隻是普通計算機上的一套軟件）也能像應用程式一樣迴應輸入封包(例如連接要求)，同時封鎖其他的封包，達到類似於防火牆的效果。\\n\\n代理會使從外部網絡竄改一個內部係統更加困難，且隻要對於代理有良好的設置，即使內部係統出現問題也不一定會造成安全上的漏洞。相反地，入侵者也許劫持一個公開可及的係統和使用它作為代理人為他們自己的目的；代理人偽裝作為那個係統對其它內部機器。當對內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP欺騙（IPspoofing）試圖通過小包對目標網絡。\\n\\n防火牆經常有網絡地址轉換(NAT)的功能，並且主機被保護在防火牆之後共同地使用所謂的“私人地址空間”，定義在RFC1918\\n\\n防火牆的適當的配置要求技巧和智慧，它要求管理員對網絡協議和計算機安全有深入的瞭解，因小差錯可使防火牆不能作為安全工具。\\n\\n發展背景\\n\\nInternet的出現及其迅速發展給現代人的生產和生活都帶來了\\n\\n個人防火牆\\n\\n個人防火牆前所未有的飛躍，它促進了資訊的廣泛交流，大大提高了工作效率，豐\\n\\n富了人們的精神生活。然而，隨著計算機網絡技術的突飛猛進，網絡安全的問題已經日益突出地擺在各類用戶的麵前，網絡的安全性成為Internet上最為熱門的焦點之一，它關係著Internet的進一步發展和普及，甚至關係著Internet的生存。隨著網絡安全問題日益嚴重，網絡安全產品逐漸被人們重視起來。防火牆作為最早出現的和使用量最大的網絡安全產品，受到了用戶和許多研發機構的青睞。防火牆對網絡係統具有很好的保護作用。它通過對流經它的網絡資訊進行監控以實現安全防護。比如用禁止特定的方法設置對外通訊來防止木馬；或者禁止來自特殊站點的訪問，從而防止來自入侵者的所有通訊。從應用角度來看防火牆基本上可以分為網絡級的防火牆和個人防火牆兩種。目前個人用戶對網絡安全的需要在不斷增加，而Windows操作係統是使用最為廣泛的PC操作係統，因此如何在Windows操作係統下開發個人防火牆變的越來越重要了。個人防火牆就是一個位於計算機和它所連接的網絡之間的軟件。該計算機與網絡的所有通訊均要經過此防火牆。目前在Windows操作係統下比較著名的防火牆有國外的ZoneAlarm，NortonPersonalFirewall以及SygatePersonalFirewall等，國內的有天網防火牆等產品。個人防火牆有很多優點：它能對公共網絡中的單個係統提供保護；它不需要額外的硬體資源就能增加對係統的保護；它在抵擋外來攻擊的同時，還可以抵擋來自內部的攻擊；另外，它的價格相對來說十分的便宜。尤其是對一個使用Modem或ISDN\\/ADSL上網的家庭用戶來說，一個硬體防火牆實在是太昂貴了或者太麻煩了（需要煩瑣的配置），而使用個人防火牆足以能夠隱蔽用戶暴露在網絡上的資訊，對其提供足夠的安全保護\\n\\n產品\\n\\n個人防火牆產品如著名Symantec公司的諾頓、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等，都能幫助您對係統進行監控及管理，防止特洛伊木馬、spy-ware等病毒程式通過網絡進入您的電腦或在您未知情況下向外部擴散。這些軟件都能夠獨立運行於整個係統中或針對對個彆程式、項目，所以在使用時十分方便及實用。\\n\\n理論背景\\n\\n3.1Windows2000組件\\n\\n在Windows2000操作係統環境中，一部分組件運行在用戶模式\\n\\n個人防火牆\\n\\n個人防火牆下，其他的則運行在內核模式下。檔案係統、中間層和最低層驅動程式\\n\\n被顯示在下方圖，其中包含了內核模式I\\/O管理器。如下圖所示，Windows2000操作係統包括了許多內核模式組件，它們被精心地定義為功能相互獨立的組件。內核I\\/O管理、即插即用管理（PlugandPlayManager）、電源管理（PowerManager）、硬體抽象層（HardwareAbstractionLayer，HAL）、配置管理（ConfigurationManager）、存儲管理（MemoryManager）、運行支援（ExecutiveSupport）和過程結構（ProcessStructure）組件。其他組件可包括對象管理（ObjectManager）和安全引用監控器（SecurityReferenceMonitor）。即插即用（PnP）管理和電源管理是Windows2000中的新組件。他們僅僅支援Windows2000驅動程式和WDM驅動程式。\\n\\n3.2Windows2000中的驅動程式種類\\n\\n1）在Windows2000操作係統中，有兩個基本的驅動程式種類。\\n\\nA．用戶模式驅動程式（例如Win32VDD，它是為MS-DOS應用程式開發的專用設備）或另一個被保護的子係統的驅動程式，並且用戶模式驅動程式是與子係統細節相關的。\\n\\nB．針對邏輯、虛擬或物理設備的內核模式驅動程式。\\n\\n這些驅動程式作為WindowsNT執行體部分來運行：WindowsNT是基礎的、基於微內核的操作係統，它支援一個或更多的保護子係統。一些Windows2000內核驅動程式也是WDM驅動程式，它們符合Windows驅動程式模型（WDM）。所有的WDM驅動程式是PnP驅動程式，並支援電源管理。\\n\\n內核模式驅動程式類型有三種基本類型的內核模式驅動程式。每一種都有稍微不同的結構和完全不同的功能。\\n\\na.最高層驅動程式，例如係統支援的FAT、NTFS和CDFS檔案係統驅動程式（FSD）。最高層驅動程式通常依賴於較低層的驅動程式支援。雖然特定的檔案係統驅動程式可能從一個或多箇中間層驅動程式獲得支援，但是每個檔案係統驅動程式最終依賴一個或多個下層外圍設備驅動程式的支援。\\n\\nb.中間層驅動程式，例如虛擬磁盤、鏡像、或指定設備類型的類\\n\\n個人防火牆\\n\\n個人防火牆驅動程式。中間層驅動程式也需要較低層驅動程式的支援。例如，PnP\\n\\n功能驅動程式是中間層驅動程式，它們在一個I\\/O總線上控製特定的外圍設備，這個I\\/O總線是由PnP硬體總線驅動程式來控製的。\\n\\nc.最低層驅動程式，例如PnP硬體總線驅動程式，它控製一個I\\/O總線，這個總線連了一些外圍設備在上麵。最低層驅動程式不依賴於較低層驅動程式，而是控製物理外圍設備。\\n\\n3.3內核模式驅動程式的網絡結構\\n\\n微軟的Windows2000支援三種基本的內核模式網絡驅動程式\\n\\n1)微NIC驅動程式。一個微的驅動程式直接控製一個網絡介麵卡(NIC)，並且為高層的驅動程式提供介麵。\\n\\n2)中間層驅動程式。一箇中層協議驅動程式連接了上層協議，例如早期的傳輸驅動程式和一個微。開發中層協議驅動程式的一個普遍原因是用它在早期的傳輸驅動程式和一個微之間實現轉換。一個微控製了一個NIC，對於傳輸驅動程式來說，它是一個陌生的新介質類型。\\n\\n3)協議驅動程式。一個上層協議驅動程式向網絡用戶提供服務，它實現了TDI介麵，或者也許是為另一個上層的特殊應用而提供的介麵。這種驅動程式在它的下邊界提供了一個協議介麵，用來向低層驅動程式發送和接收數據包。\\n\\n主要功能\\n\\n網絡數據包處理、安全規則和日誌。\\n\\n⑴網絡數據包處理\\n\\n在Internet上，所有往來的資訊都被分割成許許多多一定長度的信\\n\\n個人防火牆\\n\\n個人防火牆息包，資訊包的包頭包括IP源地址、IP目標地址、內裝協議(TCP、UDP、\\n\\nICMP、或IPTunnel)、TCP\\/UDP目標、ICMP訊息類型、包的進入介麵和出介麵等資訊。個人防火牆會檢查所有通過的資訊包中的包頭資訊，並按照用戶所設定的安全過濾規則過濾資訊包。如果防火牆設定某一IP為危險的話，從這個地址而來的所有資訊都會被防火牆遮蔽掉。由此可見，個人防火牆核心技術是實現在Windows操作係統下的網絡數據包攔截。\\n\\n⑵安全規則設置\\n\\n防火牆的安全規則就是對計算機所使用的局域網、互聯網的內製協議進行設置，使網絡數據包處理模塊可以根據設置對網絡數據包進行處理，從而達到係統的最佳安全狀態。個人防火牆軟件的安全規則方式可分為兩種：一種是定義好的安全規則。就是把安全規則定義成幾種方案，一般分為低、中、高三種，這樣不懂網絡協議的用戶，也可以根據自己的需要靈活的設置不同的安全方案。還有一種就是用戶自定義的安全規則。這需要用戶在瞭解了網絡協議的情況下，根據自己的安全需要對某個協議進行單獨設置。\\n\\n⑶日誌\\n\\n日誌是每個防火牆軟件必不可少的主要功能，它記錄著防火牆軟件監聽到發生的一切事件，比如入侵者的來源、協議、、時間等等。日誌的實現比較簡單，將監聽到的事件資訊寫入檔案即可。\\n\\n攔截數據的類型\\n\\n用戶態（user-mode）和內核態（kernel-mode）。\\n\\n1）用戶態（user-mode）。\\n\\n在用戶態下進行網絡數據包的攔截有三種方法：WinsockLayeredServiceProvider(LSP)、Windows2000包過濾介麵、替換係統自帶的WINSOCK動態連接庫。在用戶態下\\n\\n個人防火牆\\n\\n個人防火牆進行數據包攔截最致命的缺點就是隻能在Winsock層次上進行，而對於網\\n\\n絡協議棧中底層協議的數據包無法進行處理。因此，這些方法並不適合個人防火牆。2）內核態（kernel-mode）。\\n\\na)TDI過濾驅動程式（TDIFilterDriver）。當應用程式要發送或接收網絡數據包的時候，都是通過與協議驅動所提供的介麵來進行的。協議驅動提供了一套係統預定義的標準介麵來和應用程式之間進行互動。因此，隻需要開發一個過濾驅動來截獲這些互動的介麵，就可以實現網絡數據包的攔截。當應用程式要發送或接收網絡數據包的時候，都是通過與協議驅動所提供的介麵來進行的。協議驅動提供了一套係統預定義的標準介麵來和應用程式之間進行互動。在Windows2000\\/NT下，ip,tcp,udp是在一個驅動程式裡實現的，叫做tcp.sys，這個驅動程式創建了5個設備：DeviceRawIp，DeviceUdp，DeviceTcp，DeviceIp，DeviceMULTICAST。應用程式所有的網絡數據操作都是通過這些設備進行的。因此，我們隻需要開發一個過濾驅動來截獲這些互動的介麵，就可以實現網絡數據包的攔截。另外，TDI層的網絡數據攔截還可以得到操作網絡數據包的進程詳細資訊，這也是個人防火牆的一個重要功能。但是，TDI傳輸驅動程式有一個缺陷，TDIFilterdriver屬於Upperdriver,位於TcpIP.sys之上，這就意味著由TcpIP.sys接收並處理的數據包不會傳送到上層，從而無法過濾某些接收的數據包，例如ICMP包。ICMP的應答包直接由TcpIP.sys生成並迴應，而上麵的過濾驅動程式全然不知。另外，該方法需要在係統核心層編寫驅動程式，需要編寫人員對Windows操作核心層的工作機製非常熟悉，同時，驅動程式對代碼質量要求非常高，稍有不慎就會使係統崩潰，\\n\\nb)Win2kFilter-HookDriver。這是從Windows2000開始係統所提供的一種驅動程式，該驅動程式主要是利用Ipfiltdrv.sys所提供的功能來攔截網絡數據包。Filter-HookDriver的結構非常簡單，易於實現。但是正因為其結構過於簡單，並且依賴於Ipfiltdrv.sys，Microsoft並不推薦使用Filter-HookDriver。\\n\\nc)NDISHookDriver。該方法在Windows2000\\/xp下是非公開的，因此這種方法對平台的依賴性比較大，需要在程式中判斷不同的操作係統版本而使用不同的方法。\\n\\nd)NDIS中間層驅動程式（NDISIntermediateDriver）。NDIS（NetworkDriverInterfaceSpecification）是Microsoft和3Com公司開發的網絡驅動程式介麵規範的簡稱，它支援如下三種類型的網絡驅動程式：微驅動程式、中間層驅動程式（IntermediateDriver）和協議驅動程式。其中中間層驅動介於協議層驅動和小驅動之間，其功能非常強大，可以提供多種服務，能夠截獲所有的網絡數據包（以太幀），過濾微驅動程式，實現特定的協議或其他諸如數據包加密、認證等功能。綜上所述，在NDIS中間層進行網絡數據包截獲的方法結構規範，功能強大，該技術極其適合個人防火牆所采用。\\n\\n中間層驅動程式（NDIS）的內部結構\\n\\nNDIS支援3種驅動：微驅動，中間層驅動和協議驅動。1）微驅動。就是網卡驅動，它負責管理網卡，包括通\\n\\n個人防火牆\\n\\n個人防火牆過網卡發送和接受數據，它也為上層驅動提供介麵。\\n\\n2）中間層驅動。它通常位於微驅動和傳輸協議驅動之間，是基於鏈路層和網絡層之間的驅動，由於中間層驅動在驅動層次中的中間層位置，它必須與其上層的協議和下層的微驅動通訊，並且導出兩種協議的函數。雖然中間層驅動導出MINIPORTXX函數，但它並不真正的管理物理網卡，而是導出一個或者多個虛擬適配器，上層協議可以綁定到上麵。對於協議驅動來說，中間層導出的虛擬適配器看起來像一個物理網卡，當它向這個虛擬適配器發送封包或者請求時，中間層驅動將這些封包和請求傳播到下層微驅動；當下層微驅動向上指示接收封包或者狀態時，中間層驅動向上到綁定虛擬適配器上的協議驅動。中間層驅動的主要作用就是過濾封包，其優點是能夠截獲所有的網絡數據包。\\n\\n3）協議驅動，即網絡協議。它位於NDIS體係的最高層，經常用作實現傳輸協議堆棧的傳輸驅動中的最底層驅動。傳輸協議驅動申請封包，從發送應用程式將數據複製到封包中，通過調用NDIS函數將這些封包發送到下層驅動。協議驅動也是提供了一個協議介麵來接收來自下層驅動的封包。傳輸協議驅動將收到的封包傳遞給相應的客戶應用程式。在下層，協議驅動與中間層微驅動互動。協議驅動調用NDISXX函數發送封包，讀取和設置下層驅動維護的資訊，使用操作係統服務。協議驅動也要導出一係列的入口點，NDIS調用它來指示封包的接受，指示下層驅動的狀態，或者是和其他協議驅動的通訊。\\n\\n中間層內部的工作流程\\n\\n1)中間層對數據包的管理\\n\\n中間層驅動程式從高層驅動程式接收數據包描述符，並在網絡上發送，該包描述符與一個或多個鏈式數據緩衝區相關聯。中間層驅動程式能夠對數據進行重新打包，並使用新的數據包描述符進行數據傳輸，也可以直接將數據包傳遞給低層驅動程式，如果驅動程式下邊介麵向無連接，可調用NdisSend或NdisSendPackets函數完成該功能，如果驅動程式下邊界是麵向連接的，可調用NdisCoSendPackets函數完成此項功能。中間層驅動程式也可以進行一些操作改變鏈式緩衝區的內容，或者調整內入數據包相對於其他發送任務的發送次序或發送定時。但是，即使中間層驅動程式隻是向下層傳遞上層引入的數據報，例如，僅僅隻是對數據包進行計數，也必須分配新的數據包描述符，並且要管理部分或者全部新的包結構。\\n\\n每一箇中間層驅動程式都必須分配自己的包描述符來代替高層的數據包描述符。如果中間層驅動程式要把數據包從一種格式轉化為另一種格式，也必須分配緩衝區描述符來對映用於複製轉配數據的緩衝區，該緩衝區由中間層驅動程式進行分配。如果有與複製的包描述符相關的OOB數據，那麼可以將這些數據複製到與包描述符（中間層驅動程式分配的）相關的新OOB數據塊，其過程是，首先，用NDIS_OOB_DATA_FROM_PACKET宏獲取OOB數據區的指針，然後，調用disMoveMemory將其內容移入與新包描述符相關的OOB數據區。該驅動程式也能夠用NDIS_GET_PACKET_XXX或NDIS_SET_PACKET_XXX宏從與老的包描述符相關的OOB數據區中，讀取相關的內容，並寫入與新包描述符相關的OOB數據區。\\n\\n包描述符通過調用以下NDIS函數進行分配\\n\\na)調用NdisAllocatePacketPool或者NdisAllocatePacketPoolEx，為固定尺寸包描述符（由呼叫器指定數量）分配並初始化一組非可分頁池。\\n\\nb)調用NdisAllocatePacket函數，從NdisAllocatePacketPool(Ex)已經分配的池中分配包描述符。根據中間層驅動程式目的的不同，驅動程式能夠對引入包描述符連接的緩衝區進行重新打包。例如，中間層驅動程式可以在接下來的情況下分配包緩衝池、對引入包數據重新打包.如果中間層驅動程式從高層協議驅動程式接收到的數據緩衝區，比低層介質能夠發送的單個緩衝區更大，那麼中間層驅動程式必須將引入的數據緩衝分割成更小的、滿足低層發送要求的數據緩衝。中間層驅動程式在將發送任務轉交低層驅動程式之前，可以通過壓縮或加密數據方式來改變內入數據包的長度。調用以下NDIS函數分配上麵所要求的緩衝區：\\n\\nNdisAllocateBufferPool獲取用於分配緩衝區描述符的控製代碼；\\n\\nNdisAllocateMemory或NdisAllocateMemoryWithTag分配緩衝區；\\n\\nc)調用NdisAllocateBuffer分配和設置緩衝區描述符，對映由NdisAllocateMemory(WithTag)分配的緩衝區，並鏈接到NdisAllocatePacket分配的包描述符上。驅動程式可以通過調用NdisChainBufferAtBack或NdisChainBufferAtFront函數，將緩衝區描述符和包描述符進行鏈接。調用NdisAllocateMemory(WithTag)返回的虛擬地址和緩衝區長度，將被傳遞給NdisAllocateBuffer函數來初始化其所對映的緩衝區描述符。符合典型要求的包描述符能夠在驅動程式初始化時根據要求進行分配，也可以通過ProtocolBindAdapter函數調用來實現。如果必要或者出於效能方麵的考慮，中間層驅動程式開發者可以在初始化階段，分配一定數量的包描述符和由緩衝區描述符對映的緩衝區，這樣，就為ProtocolReceive複製內入數據（將向高層驅動程式指示）預先分配了資源，也為MiniportSend或MiniportSendPackets向相鄰低層驅動程式傳遞引入的發送數據包，準備了可用的描述符和緩衝區。如果在中間層驅動程式複製接收\\/發送數據到一個或多個緩衝區時，最末的一個緩衝的實際數據長度比緩衝區的長度小，那麼，中間層驅動程式將調用NdisAdjustBufferLength把該緩衝區描述符調節到數據的實際長度。當該包返回到中間層驅動程式時，應再次調用該函數將其長度調節到完整緩衝區的實際尺寸。\\n\\n2)下邊介麵向無連接的中間層驅動程式的工作流程\\n\\n通過ProtocolReceivePacket函數，從低層NIC驅動程式以完整數據包形式接收內入數據，該數據包由NDIS_PACKET類型的包描述符指定，也能夠通過將內入數據指示給ProtocolReceive函數，並將數據複製到中間層驅動程式提供的數據包中。下邊介麵向連接的中間層驅動程式總是用ProtocolCoReceivePacket函數，從低層NIC驅動程式接收數據作為一個完整的數據包。\\n\\n在如下情況下，中間層驅動程式能夠保持對接收數據包的所有權：當下邊介麵向無連接的中間層驅動程式向ProtocolReceivePacket函數指示完整數據包時,當下邊介麵向連接的中間層驅動程式向ProtocolCoReceivePacket函數指示數據包時，其中DIS_PACKET_OOB_DATA的Status成員設置為除NDIS_STATUS_RESOURCES以外的任何值。在這些情況下，中間層驅動程式能夠保持對該包描述符和其所描述的資源的所有權，直到所接收數據處理完畢，並調用NdisReturnPackets函數將這些資源返還給低層驅動程式為止。如果ProtocolReceivePacket向高層驅動程式傳遞其所接收的資源，那麼至少應該用中間層驅動程式已經分配的包描述符替代引入包描述符。根據中間層驅動程式目的的不同，當其從低層驅動程式接收完整數據包時，將有幾種不同的包管理策略。例如，以下是幾種可能的包管理策略：複製緩衝區內容到中間層驅動程式分配的緩衝區中，該緩衝區被對映並鏈接到一個新的包描述符，向低層驅動程式返回該輸入包描述符，然後可以向高層驅動程式指示新的數據包；創建新的包描述符，將緩衝區（與被指示包描述符相關聯）鏈接到新的包描述符，然後將新的包描述符指示給高層驅動程式。當高層驅動程式返回包描述符時，中間層驅動程式必須拆除緩衝區與包描述符間的鏈接，並將這些緩衝區鏈接到最初從低層驅動程式接收到的包描述符，最後向低層驅動程式返還最初的包描述符及其所描述的資源。即使下邊介麵向無連接的中間層驅動程式支援ProtocolReceivePacket函數，它也提供ProtocolReceive函數。當低層驅動程式不釋放包描述符所指示資源的所有權時，NDIS將調用ProtocolReceive函數，當這類情況出現時，中間層驅動程式必須複製所接收的數據到它自己的緩衝區中。對於下邊介麵向連接的中間層驅動程式，當低層驅動程式不釋放包描述符所指示資源的所有權時，則將數據包的NDIS_PACKET_OOB_DATA的Status成員設為NDIS_STATUS_RESOURCES，然後驅動程式的ProtocolCoReceivePacket函數必須將接收到數據複製到自己的緩衝區中\\n\\n5）中間層驅動過濾數據包的原理\\n\\nNDIS中間層驅動程式在NDIS中起著轉發上層驅動程式送來的數據包，並將其向下層驅動程式發送的介麵功能。當中間層驅動程式從下層驅動程式接收到數據包時，它要麼調用NdisMXxxIndicateReceive函數，要麼調用NdisMindicateReceivePacket函數向上層指示該數據包中間層驅動程式通過調用NDIS打開和建立一個對低層NIC驅動程式或者NDIS中間層驅動程式的綁定。中間層驅動程式提供MiniportSetInformation和MiniportQueryInformation函數來處理高層驅動程式的設置和查詢請求，某些情況下，可能還要將這些請求向低層NDIS驅動程式進行傳遞，如果其下邊界是麵向無連接的可通過調用NidsRequest實現這一功能，如果其下邊界是麵向連接的則通過調用NidsCoRequest實現該功能。中間層驅動程式通過調用NDIS提供的函數向網絡低層NDIS驅動程式發送數據包。例如，下邊介麵向無連接的中間層驅動程式必須調用NdisSend或NdisSendPackets來發送數據包或者包數組，而在下邊介麵向連接的情況下就必須調用NdisCoSendPackets來發送包數組數據包。如果中間層驅動程式是基於非NDISNIC驅動程式的，那麼在調用中間層驅動程式的MiniportSend或Miniport(Co)SendPackets函數之後，發送介麵對NDIS將是不透明的。NDIS提供了一組隱藏低層操作係統細節的NdisXxx函數和宏。例如，中間層驅動程式可以調用NdisMInitializeTimer來創建同步時鐘，可以調用NdisInitializeListHead創建鏈表。中間層驅動程式使用符合NDIS標準的函數，來提高其在支援Win32介麵的微軟操作係統上的可移植性。\\n\\n在防火牆的設計中，最核心的部分應該是數據包的過濾。\\n\\n其他的功能都是建立在數據包過濾的基礎之上，如：入侵檢測功能和郵件檢測功能都是建立在數據包過濾的基礎之上。數據包過濾中主要是IP包頭的分析，例如：在以太網中，得到的數據報大致是如下結構，以太幀頭14個字節，放在PUCHAR結構數組的第0個元素到第13個元素中，其中前六個字節是目的MAC地址，然後六個字節源MAC地址，然後兩個字節是協議類型，通常的協議類型有0x080x00->IP，0x080x06->ARP，0x080x35->RARP，所以，可以通過數組的第12個元素和第13個元素來判斷協議類型。過濾規則就是在這個基礎之上建立。如果要過濾特定協議，隻要在相應的字節讀取數據，判斷是否符合要過濾的規則就可以了，當然實際的過濾規則要複雜的多的多，比如對指定的指定的IP的過濾。\\n\\n重點和難點\\n\\n1）需要完整的瞭解WINDOWS的運行原理，這包括內核部分和用戶部分。\\n\\n2）需要熟悉用DDK，完整的瞭解網絡驅動的運行機製。\\n\\n3）需要瞭解防火牆的工作原理。\\n\\n\"

}