随着网络技术的发展,网络黑客攻击联入互联网的个人电脑的手段越来越多样化。在极短的时间里,他们就能够通过侵入个人电脑,获取到涉及个人隐私的重要私人文件。甚至植入木马程序或病毒程序以达到控制和破坏的目的。所以对网络安全的研究有重要的意义。 任何防火墙都是由硬件平台、基本操作系统和防火墙功能软件组成,其主要功能是阻止未授权的程序或用户访问受保护网络或主机。所有出入的数据都必须经过防火墙的检测,防火墙通过检查数据包的信息,拒绝或丢弃那些不符合安全策略的数据包。而个人防火墙也具有上述功能,使用与数据包过滤防火墙类似的工作方式,但它只为一台单独的电脑工作。个人防火墙也是由软件或硬件组成,它在个人电脑和有潜在危险的网络之间构建了一道防护屏障,是个人电脑抵御入侵的第一条防线。 状态检测数据包过滤(SPI,又称动态数据包包过滤),是在传统包过滤上的功能扩展。状态检测数据包过滤能监视每一个有效连接的状态,当截取到数据包时,首先检查该数据包是否属于某一有效连接,并根据数据包的状态信息来决定在该连接上的数据包是否被允许通过防火墙,而这些信息都被保存在状态表中。传输控制协议(TCP)是一个真正意义上的面向连接的协议,它有明确的连接开始和结束,有着明确的连接状态参数可循。防火墙可以根据TCP协议的连接状态参数实现TCP连接状态检测。 由于防火墙是保护计算机安全的第一道屏障,防火墙自身已经成为攻击目标,所以防火墙自身安全问题日益显得重要。这个问题可以从生物免疫系统得到有益的启示,生物免疫系统的基本功能是识别自我(self)和非我(nonself),并将“非我”分类清除。防止计算机软件系统遭受恶意损害的解决方法和生物免疫系统有着相似之处。对计算机软件系统来说,“非我”就是未授权的用户、病毒、木马以及恶意代码等。 本文对防火墙的数据包过滤进行了一定的探讨,并在此基础上研究个人防火墙的连接状态机制以及对防火墙自身的保护能力实现的尝试。最后实现了一个Windows下的个人防火墙,该防火墙除了具有基本的数据包过滤功能外,还具有TCP连接状态检测机制和一定的抵御对防火墙本身破坏行为的能力。这种防破坏的能力,并不是真正意义上的免疫系统,其思路源于计算机免疫系统,而其实现是基于密码学原理。