三、驱动程序和应用程序间的通讯

当驱动程序截获网络数据包后,驱动程序要和应用程序进行通讯,通知应用程序对数据包进行判断,如果符合过滤规则,则接受数据包,否则,则放弃该数据包,其步骤大致如下:

(1)应用程序创建一事件Event;

(2)应用程序通过CreateFile创建驱动程序实例;

(3)把该事件的句柄传给驱动程序;

(4)驱动程序通过DeviceControl函数接受Event的句柄;

(5)应用程序通过DeviceIOControl函数传递控制驱动程序的消息;

(6)驱动程序通过Dispatch历程得到应用程序传来的消息,然后根据消息类型进行不同的服务;

(7)把结果数据放入共享内存区,设置Event事件通知应用程序所请求的事情已经办完;

(8)应用程序通过WaitForSingleObject来获知事件发生;

(9)应用程序在共享内存区获得数据,并重置该事件。

图2　 驱动程序与应用程序通讯模型

四、过滤规则设置

包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，

对于没有明确定义的数据包，应该有一个缺省处理方法;过滤规则应易于理解，易于编辑修改;

同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，

如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息(类型和代码值)、

TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤，其他的还有MAC地址过滤。

应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

在一般情况下,我们可以从以下几个方面来进行访问规则的设置：

(1)禁止一切源路由寻径的IP包通过;

(2)IP包的源地址和目的地址;

(3)IP包中TCP与UDP的源端口和目的端口;

(4)运行协议;

(5)IP包的选择。

动作 协议 方向 访问时间 远端IP 端口 应用程序 备注

放行 IP 流进 工作时间 202.114.165.240 8080 IE

询问 TCP 流进 工作时间 202.114.165.192 1080 IE

拒绝 IP 流出 工作时间 202.114.204.153 80 IE

图3　一个典型的规则表