曹天蕊 太原城市职业技术学院

1 引言

校园网络往往会包括校园里所有系部，功能上能使要满足教师和学生的大数量用户的使用，而且性能上还要更加稳定，更具有时效性。此外，近些年校园网络也成为了黑客攻击的主要目标之一，所以校园网络的安全性要求也很高，我们在构建校园网络的时候，不仅要考虑功能和性能上满足用户的需求，而且要充分做好安全系统的建设。安全系统的建设要求系统能够自动识别非法入侵，做出有效预警并进行有效拦截；对各种具有破坏性的网络病毒，能够有效监测并查杀；如果系统出现异常，能够有应急机制快速反应并恢复数据[4]。校园网络的用户量大，数据库庞大，使校园网络安全系统的建设显得极为重要。

2 系统结构设计

防火墙系统总体结构分为三个模块（总体模块划分见表1）。

表1 PSFW模块结构

说明：

（a）SPI HOOK动态链接库的模块，网络通信主要使用SOCKET，在系统中数据过滤使用的是SPI钩子函数。

（b）NDIS HOOK这是一个网络驱动函数，安全系统的网络通信，包括驱动、应用程序、动态链接库等都使用这个函数。

具体的模块流程图如图1所示。

图1 模块流程图

3 功能实现

本文提出一种将防火墙规则从语义上压缩为与原始规则相同的无冲突规则的新方案，具体体现在数据封包、封包解析和认证上。

3.1 封包发送数据

首先，发送数据被拦截后，要调用对应的管控模块里的函数对NDIS_PACKET网络封包进行数据的提取，从而可以得到网络封包的字节总数和对应BUFFER的链表。然后根据该链表的数据判断对该数据应不应该进行封包。有两种情况：一种是需要封包，则把提取的数据进行IP封包获取协议类型；另一种情况是不需要封包，直接返回PASS值对数据进行放行。根据封包后的协议类型可以判断出对数据处理方式也不同，每一种类型都有得到对应的协议封包。比如：TCP协议得到的就是TCP协议封包，要想得到对应的地址可以对该封包进行调用CHECK解析并且认证。最后，根据认证结果来判断发送数据的封包是否结束。

3.2 封包接收数据

安全系统对接收到的外部发送来的数据封包，同样也要进行封包；调用Memory模块的执行函数Check Recv，从而获取该数据的协议类型。然后对协议类型进行判断，如果是IP类型的封包，进行上面发送数据的封包的步骤，如果不是可以返回PASS值对该数据进行放行。

3.3 解析及认证

在进行了数据的封包之后，接下来的工作最重要的就是解析和认证了。

首先通过上两步的封包，我们知道进行数据封包的都是TCP协议。首先，调用CHECK函数，对TCP封包进行解析，并将获取的结构数据保存到BUFFER链里。由于TCP协议在网络中面向连接，所以可以自动发送同步连接请求。当然这时候系统可以通过获取的连接的不同来判断使用对应的哪个CHECK函数来进行数据的认证。Nnb和App函数实时监听连接。认证结束后，对于结果该放行的数据调用ADD Direction记录连接；对于没有发出同步连线请求的数据包，选用FIND函数来查询记录，如果记录为真，对应的连线数据属性会被存放在BUFFER里。此外，还需要进行连接请求的判断，如果要结束连线，可以通过调用DELETE函数来删除数据。这时系统可以分配来一个封包缓冲区，并把封包存放了缓冲区里，直到PSFW.EXE获取到认证结果为止。

上述TCP类型的数据封包解析及认证过程是最完整的，如果数据封包是UDP类型的，除了调用的CHECK函数应选用UDP函数外，基本步骤类似。两者最大的不同是UDP它不是面向连接的，不需要根据连接请求来判断并做出相应的处理，只需要做好封包的认证就可以了。

如果数据是ICMP是（Internet Control Message Protocol）控制报文协议类型的，其解析及认证的过程更为简单。首先依然是调用对应CHECK函数进行封包解析，并将结果存放了BUFFER链里。任何调用函数判断网络连接方向，进行数据封包的认证。最后还是通过GET函数获得一个封包缓冲区，存放这次认证的结构，直到PSFW.EXE获取到认证结果为止。

4 系统测试

4.1 功能测试

校园网络安全系统中数据封包的采集、解析和认证是包过滤类防火墙最为重要的功能，它可以有效阻拦外部的非法攻击。该PSFW系统防火墙从语义上压缩为与原始规则相同的无冲突规则的新方案中依然实现对网络数据封包的过滤。通过系统运行时对封包的监视，如图2所示，PSFW防火墙的基本功能基本能够达到校园网络的特殊需求。

图2 封包监视运行

4.2 性能测试

通过该PSFW系统防火墙和其他三种知名品牌的防火墙在，端口保护、入侵检测、木马保护、禁止通讯等性能指标上的比较（结果如表2所示）可以看出，本文的PSFW系统防火墙基本可以满足校园网络的防御要求和性能指标，占用资源较低可以很好的应对多用户系统，但是在木马保护能力方面还比较弱，可操作性还有待加强。

表2 性能对比表

5 结论

本文提出了一种将防火墙规则从语义上压缩为与原始规则相同的无冲突规则的新方案，建设了一个更加高效的PSFW校园网络安全系统。经系统测试结果可以看出，本文的PSFW系统防火墙基本可以满足校园网络的功能上的要求和性能指标，其中占用资源较低可以很好的应对多用户系统，但是在木马保护能力方面还比较弱，可操作性还有待加强。