基于NDIS的过滤框架设计与实现.pdf

电子科技大学
硕士学位论文
基于NDIS的过滤框架设计与实现
姓名:梁亚舒
申请学位级别:硕士
专业:计算机系统结构
指导教师:卢显良
20070420
摘要在Ⅵ压低持校钊鏝,防火墙等这类网络应用几乎都是基于来实现的。实现包过滤的方法主要是书写过滤驱动程序,它需要的技巧比较高,而且烦琐,需要考虑很多细节,不利于快速开发各类过滤器。针对这种情况,本文设计并实现了一种基于的过滤框架,该框架具有一定程度上的可配置性,良好的可扩展性,并支持第三方开发。在该框架上进行二次开发,不必了解的任何细节问题,这样有利于快速开发各类过滤器。同时,本文在基于该过滤框架的基础上,实现了一个道鸵桓龇阑鹎实例。在讨论防火墙实例的基础上,针对规则集管理这个问题,我们进行了详细讨论。随着防火墙规则集的不断庞大,有效管理这些规则变得越来越困难。当添加规则时,新规则可能会与已有规则发生冲突,造成潜在的安全漏洞。要避免此漏洞产生,管理员必须正确地确定新规则插入的位置。而要实现这一目标,必须找出与新规则相冲突的所有规则。但是,目前存在的冲突检测算法,其时间复杂度为9嬖蚋鍪琩为规则维数实拖隆O钟械拇蠖嗍阑鹎剑都采用优先级的方式来处理规则间的冲突。但是,这种方式不仅不能从根本上化解规则冲突,而且会在一定程度上影响包分类的效率。基于此,本文针对现有规则集冲突检测算法效率较低的这一情况,提出并实现了一种规则集冲突检测算法。该算法不仅能找出与新规则相冲突的所有规则,且时间复杂度降为瑆;髯殖,效率大为提高。同时,本文还提出并实现了一种基于规则分量分解的包分类算法,该规则在一定程度上提高了包分类效率,其时间复杂度为过滤框架,掷。关键词:
’,分籲猠髎阯鏳瑂.%,耐瓾“%,,耤伍餽瞖瑃竌.￡’,,,瓵.,丘.
,,丘
年。哪口日日期:年。甲月多矿日独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的关于论文使用授权的说明文的规定,有权保留并向国家有关部门或机构送交论文的复印件和C艿难宦畚脑诮饷芎笥ψ袷卮材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。本学位论文作者完全了解电子科技大学有关保留、使用学位论磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。
堑变通途”的理想。互联网的标准语言驦,即超文本标识语言,开始超越文本、第一章引言背景如果说二十多年前计算机网络作为军事技术刚刚出现的时候,人们追求的仅仅是资源的共享和工作的高效率,那么今天当它以方便、快捷等优势深入到人们日常生活和工作领域,为广大民众所接受则是为网络本质中蕴含的生活原则所催不难看到,随着科技的发展,计算机网络正在逐步实现人类“点指八万里”、“天图片、声音等各种文体之间的鸿沟,把它们有效融为一体,使网络的视听功能得以扩大。而刚刚兴起的蠢┱剐员晔队镅裕蚩稍诟髦钟布璞福唤仅是在计算机之间建立联接,从而大大拓展了电子网络空间。而网络功能增强与空间扩大的最为直接的后果便是整个社会系统正为跨越地域和时间限制的网络空间。互联网凭借“焙汀”这两个符号,将现实社会的诸多信息予以数字化,而且各种“风马牛不相及”的信息可以联在一起,以便人们方便、快捷、无限地接近它们,也由此决定了网络的本质是在互联中实现信息的开放。这种“开放”集中表现了互联网通过对地区间隔阂的取消,远隔天涯的每一孤立而陌生的个体凭借网络可以互相交流、一起工作,为消除各种生活和工作上的不理解,不合作乃至对抗创造条件。今天,经济增长的信息化、政治参与多元化、人际交往扩大化、文明冲突融合化,以及生活方式便捷化等网络新天地的开辟无不再现了网络本质的真实存在。然而随着计算机的普及,特别是随着人们对计算机网络依赖程度不断加深,对计算机网络在安全方面以及功能上的要求也就越来越高了。典型的例子便是防火墙功能模块和网络地址转换δ苣?椋颐嵌伎梢园阉枪榻岬酵封包的过滤技术这一方面去。眼下僮飨低成跷A餍校簧俚墓救匀将基于牟僮飨低匙魑M兀虼耍芯縲下的网络封包过滤技术仍然具有一定的价值。虽然现在已经有不少的基于姆阑鹎讲罚踔猎赪中已经提供了δ埽俏颐钦饫锷杓撇⑶沂迪值氖且桓瞿芄煌ü喑探涌控制的封包过滤技术,而目前市面上的防火墙等基本都不提供编程接口。生。第一章引言
章节安排本文主要讨论基于的封包过滤框架的实现,并在该系统上实现了一个防火墙和网络地址转换