從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進(jìn)化與升級。從最早期的只能分析來源地址， 端口號以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌 牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功 能。綜上，Windows軟件防火墻從開始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

　　接下來本文就對一個(gè)Windows軟件防火墻應(yīng)當(dāng)擁有的這些組件進(jìn)行一個(gè)簡要的技術(shù)介紹。

　　封包過濾技術(shù)

　　封包過濾技術(shù)是最原始的防火墻所擁有的第一種功能。但是該功能簡單強(qiáng)大，直到現(xiàn)在都是任何一個(gè)防火墻必不可少的功能。

　 　想要在網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)應(yīng)用程序之前攔截之，就要在系統(tǒng)的網(wǎng)絡(luò)協(xié)議棧上面安裝過濾鉤子。對Windows NT系列內(nèi)核來說，可能安裝過濾鉤子的地方大致是這么幾個(gè)，從高層到底層排序：SPI層（早期的天網(wǎng)防火墻 ），AFD層（資料缺乏，尚無例子），TDI層（不少國內(nèi)墻），NDIS層（ZoneAlarm，Outpost等）。越位于高層，則產(chǎn)品開發(fā)難度越低， 但是功能越弱，越容易被攻擊者所穿越。由于NDIS層的防火墻具有功能強(qiáng)大，不易被穿透等優(yōu)點(diǎn)，近來各大防火墻廠商的趨勢是選擇NDIS層來做包過濾。

　 　目前比較流行的NDIS鉤子技術(shù)有兩種。一種是掛接ndis.sys模塊的導(dǎo)出函數(shù)，從而能夠在每個(gè)ndis protocol注冊的時(shí)候截獲其注冊過程，從而替換其send(packets)handler和receive(packet)handler。這個(gè) 方法的缺點(diǎn)是在第一次安全之后無法立刻生效，必須要重起一次，而且要禁用的話，也必須重起。

關(guān)鍵字：軟件、防火墻、網(wǎng)絡(luò)、數(shù)據(jù)包