防火墻系統(tǒng)需求與改進(jìn)分析

[摘 要] 防火墻在網(wǎng)絡(luò)中占有重要的地位。用戶安全意識(shí)的提高和網(wǎng)絡(luò)攻擊手段的發(fā)展使得傳統(tǒng)的功能簡(jiǎn)單的個(gè)人防火墻已經(jīng)無法滿足現(xiàn)在的需求。首先，用戶對(duì)個(gè)人防火墻的功能需求增強(qiáng)，個(gè)人防火墻需要提供不同層次的安全保護(hù)。其次，用戶對(duì)個(gè)人防火墻效率的需求增強(qiáng)。在防火墻功能擴(kuò)展的情況下，效率問題顯得非常突出。因此，在實(shí)際應(yīng)用中個(gè)人防火墻在實(shí)現(xiàn)安全的基礎(chǔ)上，不僅要保持高效和低耗，還要實(shí)現(xiàn)不同層次的保護(hù)功能。在對(duì)防火墻的性能和效率進(jìn)行分析和改進(jìn)的基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于 Windows平臺(tái)的個(gè)人防火墻。個(gè)人防火墻在實(shí)現(xiàn)過程中應(yīng)用了效率和性能改進(jìn)的策略，取得了非常好的效果。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全; 個(gè)人防火墻; 驅(qū)動(dòng)程序; 網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范; 系統(tǒng)服務(wù)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 17 . 028

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673 - 0194(2010)17- 0068- 02

1防火墻系統(tǒng)的需求分析

隨著網(wǎng)絡(luò)的發(fā)展和普及，上網(wǎng)的人群越來越多，同時(shí)網(wǎng)絡(luò)入侵的方式種類也是越來越多，層出不窮。因此，個(gè)人用戶對(duì)本機(jī)安全的需求是非常突出和必要的，而個(gè)人防火墻作為網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的手段，其地位也是非常重要的。防火墻的實(shí)現(xiàn)方式有硬件和軟件兩種，作為個(gè)人用戶而言，硬件防火墻固然很好，但其昂貴的價(jià)格限制了其在個(gè)人防火墻領(lǐng)域的應(yīng)用。因此，目前而言，個(gè)人防火墻的主要實(shí)現(xiàn)方式還是采用軟件實(shí)現(xiàn)的方式。無論個(gè)人防火墻功能多么完善，性能效率多么高效，這些都不能帶給用戶直接的感受。用戶能直接感受到的就是個(gè)人防火墻的使用過程，如防火墻的安裝部署，防火墻的界面部分，或者說個(gè)人防火墻表示層能和用戶直接交互的部分。因此，個(gè)人防火墻的部署和操作的方便也是需求重點(diǎn)之一。

2系統(tǒng)性能分析

很多時(shí)候防火墻系統(tǒng)的執(zhí)行效率并不高，導(dǎo)致CPU使用率高，整個(gè)計(jì)算機(jī)變慢。下面就通過分析防火墻系統(tǒng)來總結(jié)影響防火墻效率的一些重要因素。

防火墻的基本功能就是包過濾功能，當(dāng)防火墻拿到數(shù)據(jù)包后，就會(huì)把數(shù)據(jù)包同規(guī)則表進(jìn)行比較，以決定通過或者丟棄。當(dāng)用戶指定了很多過濾規(guī)則的時(shí)候，防火墻通常是把數(shù)據(jù)包按一定的順序一條一條地同規(guī)則表進(jìn)行比較。當(dāng)規(guī)則表?xiàng)l目很少的時(shí)候，可能效率影響不大，但當(dāng)規(guī)則表?xiàng)l目很多時(shí)，這樣的順序比較就會(huì)占用較多的時(shí)間。當(dāng)網(wǎng)絡(luò)帶寬很大的情況下，如果是TCP傳輸，就會(huì)導(dǎo)致效率下降，如果是UDP傳輸，就會(huì)導(dǎo)致丟包的情況發(fā)生。

當(dāng)防火墻的驅(qū)動(dòng)層執(zhí)行各項(xiàng)功能時(shí)，會(huì)不斷有數(shù)據(jù)傳遞給中間服務(wù)層，如包過濾處理結(jié)果等等;同時(shí)中間服務(wù)層也會(huì)主動(dòng)通信驅(qū)動(dòng)層，如修改規(guī)則表等。通常這種上層同驅(qū)動(dòng)層的通信主要方式是通過IOCTOL實(shí)現(xiàn)的，這種方式實(shí)現(xiàn)起來簡(jiǎn)單，但每次通信的時(shí)候都需要占用一定的內(nèi)存資源和CPU資源。當(dāng)網(wǎng)絡(luò)帶寬大，數(shù)據(jù)流量大的情況下，IOCTOL通信是非常繁忙的，因此如何改善驅(qū)動(dòng)層同上層的通信，將直接影響防火墻的性能。

3系統(tǒng)性能改進(jìn)方法

針對(duì)系統(tǒng)的性能瓶頸，本文主要采用以下方法來改進(jìn)系統(tǒng)的性能:

3.1 優(yōu)化規(guī)則表

防火墻系統(tǒng)對(duì)數(shù)據(jù)包實(shí)現(xiàn)過濾功能的核心部分就是規(guī)則表。規(guī)則表構(gòu)建的好壞直接影響數(shù)據(jù)包過濾功能的性能以及效率的好壞。防火墻系統(tǒng)一般允許用戶自己添加防火墻規(guī)則，當(dāng)用戶添加的規(guī)則很少的情況下，可能帶來的影響并不大，而在用戶添加了很多規(guī)則之后，可能在這些規(guī)則中會(huì)出現(xiàn)很多前后矛盾的規(guī)則，很多多余的規(guī)則，如果規(guī)則表構(gòu)建得不好，還會(huì)出現(xiàn)規(guī)則表不完整的情況，也就是會(huì)出現(xiàn)數(shù)據(jù)包無法找到規(guī)則表中的規(guī)則相匹配的情況。所以創(chuàng)建正確的規(guī)則表是防火墻系統(tǒng)中一個(gè)非常重要的部分。

很多情況下防火墻的設(shè)計(jì)者只是特別重視規(guī)則表匹配的效率問題。在效率的問題上，設(shè)計(jì)有們一般分成兩個(gè)方向:一個(gè)方向是采用某種數(shù)據(jù)結(jié)構(gòu)以便更快地進(jìn)行規(guī)則表匹配，另一個(gè)方向是采用某種自定義的語言來實(shí)現(xiàn)快速匹配。但這些高效率的實(shí)現(xiàn)只有建立在一個(gè)完整、緊湊、和諧的規(guī)則表基礎(chǔ)之上才能得以實(shí)現(xiàn)的。

3.2 通信方式

防火墻系統(tǒng)主要的通信集中在驅(qū)動(dòng)層和中間服務(wù)層之間，以及用戶態(tài)的進(jìn)程之間的數(shù)據(jù)交互。這些通信非常繁忙。

驅(qū)動(dòng)層與中間服務(wù)層的主要的通信方式有IO，事件以及共享內(nèi)存。上層通過Create File打開驅(qū)動(dòng)后，通過Device IO Control方式對(duì)驅(qū)動(dòng)層進(jìn)行讀寫操作，這是一種比較基本的簡(jiǎn)便的通信方式。但是這種方式會(huì)占用較多的CPU資源。每次進(jìn)行IO ct1通信分配緩存，都會(huì)相當(dāng)消耗資源。另外一種方式是通過設(shè)置共享內(nèi)存，用事件(Event)通知對(duì)方，然后另一方通過啟動(dòng)一線程Wait For Single Object收到Event通知后，就到共享內(nèi)存處讀取數(shù)據(jù)。這種方式明顯比上面的 IO ct1方式節(jié)省資源，可以避免性能下降。但是共享內(nèi)存方式的實(shí)現(xiàn)比IO ct1復(fù)雜。

為了提高防火墻系統(tǒng)的性能和通信效率，驅(qū)動(dòng)層與中間服務(wù)層主要采用緩存事件配合IO的方式，節(jié)省CPU資源，提高計(jì)算機(jī)性能。

在用戶態(tài)的進(jìn)程之間的主要通信方式有消息機(jī)制、共享數(shù)據(jù)方式、內(nèi)存映射文件方式等，但一切都是基于內(nèi)存映射文件方式機(jī)制。通過創(chuàng)建文件內(nèi)核對(duì)象，把文件內(nèi)核對(duì)象映射到不同的進(jìn)程空間，達(dá)到進(jìn)程間的共享數(shù)據(jù)，保證了進(jìn)程之間數(shù)據(jù)交換的效率，確保最低的系統(tǒng)開銷。

因此，在用戶態(tài)的進(jìn)程之間的主要通信方式采用內(nèi)存映射的方式，保證高效率和低系統(tǒng)開銷。

3.3 讀寫

因?yàn)榉阑饓σ?jīng)常讀寫文件，比如規(guī)則表、策略表以及Log信息，因此，頻繁地打開文件、讀寫文件、關(guān)閉文件將占用大量的內(nèi)存空間和CPU時(shí)間，對(duì)防火墻的效率和性能的影響很大。如果采用內(nèi)存映射方式，不僅保證了進(jìn)程間的數(shù)據(jù)交換的效率和性能，同時(shí)也保證了IO文件讀寫的效率。

3.4 驅(qū)動(dòng)層內(nèi)過濾

通常過濾的方式有兩種:在驅(qū)動(dòng)層過濾和在應(yīng)用層過濾。

在應(yīng)用層過濾實(shí)現(xiàn)起來比較簡(jiǎn)單，很多防火墻如此實(shí)現(xiàn)，每次驅(qū)動(dòng)層拿到數(shù)據(jù)包后，通過IO或者事件的方式將數(shù)據(jù)包送到共享緩存中，然后事件通知應(yīng)用層處理，應(yīng)用層收到通知后，就到共享緩存處讀取數(shù)據(jù)包進(jìn)行處理，然后將處理后的結(jié)果傳回共享緩沖區(qū)，同時(shí)以事件或者IO方式通知驅(qū)動(dòng)層，驅(qū)動(dòng)層收到通知后，讀取共享緩存區(qū)。在應(yīng)用層里可應(yīng)用的函數(shù)非常豐富，因此負(fù)載的實(shí)現(xiàn)做起來比較簡(jiǎn)單，但這種方式要耗費(fèi)很多CPU資源。

驅(qū)動(dòng)層過濾就是一次性將規(guī)則表傳入驅(qū)動(dòng)層，然后直接在驅(qū)動(dòng)層過濾。但驅(qū)動(dòng)層可以使用的函數(shù)非常少，因此不像應(yīng)用層處理那么方便，但卻減少了通信，減少了每次通信帶來的系統(tǒng)開銷。

因?yàn)橐?guī)則表并不需要很復(fù)雜的處理，所以我們采用驅(qū)動(dòng)層過濾的方式，降低通信開銷。

4結(jié)論

隨著網(wǎng)絡(luò)的發(fā)展，個(gè)人防火墻越來越受到重視，地位也越來越重要，用戶對(duì)個(gè)人防火墻的要求也越來越高，因此個(gè)人防火墻要在豐富的功能實(shí)現(xiàn)基礎(chǔ)上兼具良好的性能和效率。

本文首先對(duì)現(xiàn)在的網(wǎng)絡(luò)體系結(jié)構(gòu)和Windows系統(tǒng)的網(wǎng)絡(luò)架構(gòu)進(jìn)行了介紹和對(duì)比。然后對(duì)在Windows平臺(tái)下各層次的防火墻開發(fā)的相關(guān)技術(shù)進(jìn)行介紹和分析，定位了5個(gè)系統(tǒng)性能和效率瓶頸:(1)規(guī)則表的匹配低效;(2)驅(qū)動(dòng)層同中間層的繁忙通信;(3)進(jìn)程間的繁忙數(shù)據(jù)交換;(4)文件讀寫的低效;(5)策略表的低效查找。

針對(duì)這些瓶頸，我們給出了解決瓶頸的7點(diǎn)改進(jìn)策略:(1)優(yōu)化規(guī)則表;(2)規(guī)則表細(xì)分;(3)共享內(nèi)存和事件的通信方式;(4)內(nèi)存映射;(5)直接驅(qū)動(dòng)層計(jì)算;(6)二分查找;(7)使用索引表。

最后，本研究工作采用上述改進(jìn)策略構(gòu)造了一個(gè)單機(jī)防火墻系統(tǒng)，實(shí)現(xiàn)了對(duì)本地系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包、文件系統(tǒng)以及進(jìn)程線程的監(jiān)控功能。

主要參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].第4版.北京:電子工業(yè)出版社，2003.

[2] 陳琪，屈光，高傳善.Windows單機(jī)版防火墻包過濾多種方案比較與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用與軟件，2005， 22(5):114-116.

[3] 史洪，高豐.基于 Winsock 協(xié)議棧的數(shù)據(jù)封包截獲技術(shù)[J].高性能計(jì)算技術(shù)，2005(1):41-43.

[4] 陸萍，徐汀榮.基于過濾鉤子技術(shù)的XShield防火墻的研究與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù)，2005，28(8):20-21，24.

[5] 陳保香.基于Winsock的中間動(dòng)態(tài)連接庫(kù)探討[J].微計(jì)算機(jī)應(yīng)用， 2000(3):143.