网络个人防火墙是指隔离在个人计算机和外 界网络之间的一道防御系统，是一类防范措施的 总称[1]。防火墙可以监控进出个人计算机的通信 数据，让安全的、得到许可的信息进入，同时又可 以有选择地防止自己的信息危害网络。 当前Windows个人防火墙普遍具有的功能 有：对特定的IP地址进行过滤，防止非法用户和 网站对本机进行攻击；可对所有的TCP、u)P、 ICMP数据包实施拦截和放行；对网络存取和访 问进行监控和审计，并记录这些访问的日志；当 发生可疑情况或受到攻击时，进行适当的警报，并 给用户提供详细的信息。 当前Windows下个人防火墙的不足之处有： 只对数据包中的IP报头、TCP报头、切)P报头、 ICMP报头进行匹配和过滤，而忽略数据段部分； 存在不能过滤所有数据包和过滤不完全的缺陷， 如对ICMP数据包的无条件放行；存在和 802．102]身份认证系统冲突的情况；缺乏针对域 名的网址过滤功能。

基于WINDOWS个人防火墙的网页过滤技术的设计与实现，邱烨，高珩，本文在深刻分析了个人防火墙的设计策略和Windows操作系统网络数据包拦截的原理的基础上，设计并且实现了基于WINDOWS个人防火墙的网页�

本文通过研究Windows网络体系结构和防火墙核心封包过滤技术，采用NDIS 中间层驱动和Winsock2 SPI技术相结合的方案，实现了核心层和应用层的双重 过滤，完成了Windows个人防火墙的设计与实现。本防火墙在核心层模式下， 使用NDIS中间层驱动程序，截获所有流经网卡的原始数据包，并根据用户界面 针对核心层设置的安全规则进行过滤，在内核态实现了对IPv4协议和IPv6协 议的数据包过滤控制，同时实现了基于状态自动检测的过滤，防御恶意扫描， 如TCP SYN、TCP NULL、TCP Xmas、UDP、ICMP扫描，防御ARP欺骗、IP欺诈。 在应用层模式下，基于Winsock2 SPI符合Windows开放服务体系模式，本论 文开发了分层服务提供者程序的动态链接库，实现了对Winsock网络通信的截 获，向用户提供了对网络进程的实时监控，并根据用户界面针对应用层设置的 安全规则进行过滤。 本防火墙程序是在Windows操作系统下，以VC6．0为平台、Windows DDK 3790．1830为开发工具、以MSDN为联机帮助文档联合进行开发，本防火墙向用 户提供了友好的用户界面，经过实际测试，运行稳定，能够实时显示当前网络 流量，有效地拦截恶意扫描，实时提供所有访问网络的应用程序的活动状态， 并根据用户设置的本地安全策略，准确地过滤IPv4协议和IPv6协议的原始数 据包，在正确配置本地安全策略的情况下，能有效地防御蠕虫、木马等病毒， 同时，还能对恶意网站进行过滤设置，防止恶意程序注入，保护本地网络的安 全。