个人防火墙的工作在TDI层和NDIS层

最新推荐文章于 2019-09-17 15:22:55 发布
最新推荐文章于 2019-09-17 15:22:55 发布
阅读量485 收藏 3
点赞数
分类专栏: 摘录 文章标签: 防火墙 工作 网络协议 网络应用 应用服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmiangui/article/details/83562019
版权

虽然真正可靠的防火墙应该工作在NDIS层,但是,个人防火墙和用于服务器的防火墙毕竟还是有一些不同之处,工作在服务器端的防火墙只需要根据协议、地址 和端口判断是转发还是丢弃就行了,高级一点还可以分析包内容(全状态过滤),根据预设的引擎判断数据包正常还是非法,这样的防火墙还可以用硬件实现。

但是个人防火墙的特别之处就是需要与用户交互,用户数据多是基于IP协议的,并且用户并不关心协议的细节(掌握这些对大多数用户来说有点难度),所以个人 防火墙除了通过IP层的协议进行过滤之外,更主要的手段是根据用户的意愿允许还是阻止某个进程(程序)访问网络,也就是应用程序控制,在这个粒度上用户比 较容易理解和控制。从这一点上讲,工作在TDI层的防火墙的优势就是能够在网络访问发生的时候追踪到发起访问的进程名称,从而给用户一个提示。

工作在TDI层也有其优势 写道
而工作在NDIS层的防火墙则不容易做到这一点。因为发送数据时上层驱动将数据包提交到NDIS的发送队列中后就返回了,当数据包被真正投递的时候已经无从确定是哪个程序(进程)发送的了,对于收到的数据包需要根据端口号判断是哪个程序的,但是在NDIS层并不知道端口号和进程的对应关系,所以无论数据发送还是接收都无法有效地确定是属于哪个进程的数据。如果不能确定哪个进程访问网络,只是根据地址、端口和协议进行过滤对(大多数)用户来说是很不友好的,所以个人防火墙最好应该是TDI+NDIS双保险:TDI层根据进程级访问过滤,NDIS层根据地址、端口和协议过滤。
 

 

xmiangui
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于NDISHOOK与SPI的个人防火墙研究与设计.pdf
07-22
介绍了NDIS系统结构以及在Windows 2000/NT下NDIS-HOOK的原理,并给出了一个基于NDISHOOK技术的个人防火墙驱动程序——Packet.sys。利用该驱动程序与SPI技术相结合,可方便地实现基于Windows的个人防火墙
Windows防火墙NDIS HOOK和TDI HOOK
深度技术安全
02-20 7992
<br />1、TDI HOOK<br /> TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp,/Device/
个人防火墙--中间层NDIS中间层驱动发送和接收流程
u011386637的博客
05-05 3819
1)用户态(user-mode)。 在用户态下进行网络数据包的拦截有三种方法:WinsockLayeredServiceProvider(LSP)、Windows2000包过滤接口、替换系统自带的WINSOCK动态连接库。在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理。因此,这些方法并不适合个人防火墙。 2)内核态
基于TDI的网络防火墙
cqyczj的专栏
05-14 2174
tdi_fw是一个基于TDI的网络防火墙,继承自tdifw,完全采用AttachDevice的方式来实现功能,目标是成为一个高效轻巧的架构,并稳定运行于xp,win7的32位与64位版本。 memtrack模块 memtrack.h memtrack.c 跟踪内存分配与释放,避免内存泄露 #if DBG 时,自定义的内存分配函数malloc_np会在分配内存的同时建立一个
Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platfrom))
zhangge3663的博客
09-17 4315
catalog 0.引言 1.Windows 2000网络结构和OSI模型 2.NDIS驱动 3.NDIS微端口驱动编程实例 4.NDIS中间层驱动编程实例 5.TDI驱动 6.TDI驱动 7.TDI的过滤框架 8.WFP(Windows Filtering Platform windows过滤平台) 0.引言 最早出现的网络驱动应该是网卡驱动,这是Windows的下进行...
NDIS中间层驱动学习小记
u012324979的专栏
08-19 1080
大二暑假,据说拥有驱动开发基础,boss给出了个网络过滤驱动的题目,刚开始以为会是很简单的,就一直在TDI层上着手,后来才发现TDI在xp之后就有可能不支持了,所以在了解其处理流程之后果断专项NDIS中间层协议驱动。 NDIS横跨传输层/网络层/数据链路层,NDIS负责上下层驱动程序间服务原语与驱动程序入口之间的转换,分派消息通知。NDIS提供三个层次的接口:网络接口卡驱动程序(NIC)、中间层
NDIS协议驱动开发.pdf
10-03
开发虚拟网卡和防火墙推荐使用 NDIS 中间层驱动。 NDIS 协议驱动的数据收发模型如下: NDIS 协议驱动 → NDIS 中间层驱动 → NDIS 微端口驱动 → TDI 传输驱动接口 → TCPIP → TCPWAN → my protocol → NIC1 → ...
基于WFP模型的网络防火墙设计实现
03-25
WFP(Windows Filter Platform)是为网络过滤应用...通过提供简单的开发平台,WFP被用于取代以前的TDI过滤,NDIS过滤,以及LSP(Winsock Layered Service )。在Visita及以后的系统火墙钩子,过滤钩子驱动将不再适用。
NDIS FS USB Windows驱动开发资料包
10-10
Windows_NDIS1.ppt和第4章_基于NDIS的网络编程.ppt,这些PPT可能提供了关于NDIS驱动开发的可视化教学材料,包含NDIS驱动的工作流程、编程实例和案例分析。 Windows_NDIS2.ppt可能是NDIS驱动开发的进阶内容,涵盖了...
[XFILTER]防火墙源码
04-18
学习防火墙最经典源码 网络与通信程序开发 qq群号:28363065 欢迎加入交流学习 TCP/IP, QoS, SNMP,VxWorks, Linux, Windows, SDK, MFC, WinSocket, DDK,WDM,NDIS, TDI,---本群现招管理员若干名有意联系群主..
TCP中的7种定时器详解
Hyman's Blog
08-01 7202
TCP中的7种定时器:建立连接定时器、重传定时器、延迟应答定时器、坚持定时器、FIN_WAIT_2定时器、TIME_WAIT定时器
TDI, NDIS 驱动的学习
xum2008的专栏
05-16 1000
最近,因为项目的需要,想加入防火墙的功能模块,故开始了对这方面知识的学习。。。。<img style="margin: 2px;" title="名称: AFD.jpg查看次数: 271文件大小: 14.4 KB" src="mhtml:file://C:/Documents and Settings/Administrator/桌面/技术专题 【原创】Windows网络体系结构总
TDI 或者NDIS filter 实现进程禁止联网
dingchangkejigongsi的博客
05-15 2641
要想在驱动层做到禁止某个进程访问网络,这个需求是非常容易的。TDINDIS 以及WFP任何一个框架都可以很快实现这个需求。他们之间有什么不同点那,首先TDI实现起来我认为是最简单,并且兼容性也是最好的。有人说TDI不支持win7以上系统,我想问一下,你试过吗?为啥不行那?我可以很负责的告诉你是可以的。        NDIS也是可以是实现的,这个是用网络层来控制的。也就是说可以做到IP层的所有数...
windows xp下使用TDI+NDIS实现进程网络流量限速(设计文档)
脚踏实地,不断突破自我,每天有收获就OK
05-06 4457
在windows xp下实现进程网络流量限速
Windows8核心态网络过滤研究
weixin_30355437的博客
06-08 289
Windows 8是微软公司推出的最新的客户端操作系统,内部名称Windows NT 80。相对于Windows NT 5.x,其网络结构变化非常大,原有的TDINDIS系统挂接方法不再适用。在Windows8系统中,微软引入了两种新的网络过滤系统,WFP和NDISfilter。WFP (Windows Filtering Platform)其包含从用户态到核心态的一系列应用层,根据需...
WFP过滤开发(一)
jimk1983的专栏
10-19 4868
如果要支持win8/Win10的驱动开发,建议搭建VS2015+WDK10的开发环境,搭建的时候注意SDK和WDK的版本一定要匹配,否则会出现找不到头文件的各种错误。     https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/using-bind-or-connect-redirection(TCP重定向)
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙
热门推荐
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
NDIS中间层驱动:包截获原理与实现详解
在编写NDIS中间层驱动时,其工作流程主要包括以下几个步骤: 1. **驱动结构**:中间层驱动需要定义和导出一个MINIPORT接口,向上层提供服务,同时导出一个PROTOCOL接口,向下接收来自底层网卡的数据。这确保了数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值