[原创]一个简单基于WFP模型的防火墙设计实现-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]一个简单基于WFP模型的防火墙设计实现

发表于: 2013-6-19 12:07 63627

[原创]一个简单基于WFP模型的防火墙设计实现

hackerlzc

2013-6-19 12:07

63627

enum
{
    AnyAddr=0,
    UniqueAddr,
    RangeAddr,
    UnknownAddr
};
enum
{
    RulesDirectionAny=0,
    RulesDirectionUp,
    RulesDirectionDown,
    RulesDirectionUnknown
};
enum
{
    RulesProtocolAny = 0
};
union{
        UINT32   u32;
        struct
        {
            UINT32  RemoteAddrType :2;  //取值为AnyAddr,UniqueAddr,RangeAddr
            UINT32  LocalAddrType :2;   //取值为AnyAddr,UniqueAddr,RangeAddr
            UINT32  RemotePortType :2;  //取值为AnyAddr,UniqueAddr,RangeAddr
            UINT32  LocalPortType :2;   //取值为AnyAddr,UniqueAddr,RangeAddr
            UINT32  ProtocolType :8;//网络协议类型，和RFC文档的代码保持一致
            UINT32  Direction :2;//00：任意方向01：上行 10:下行 11：未定义
            UINT32  Access  :1;//是否允许访问，1为允许
            UINT32  IcmpType :5;
            UINT32  IcmpCode :5;
            UINT32  Reserved :3;
        }Bits;
}rule;

void 
NTAPI
WallALEConnectClassify(
   IN const FWPS_INCOMING_VALUES* inFixedValues,
   IN const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
   IN OUT void* layerData,
   IN const void* classifyContext,
   IN const FWPS_FILTER* filter,
   IN UINT64 flowContext,
   OUT FWPS_CLASSIFY_OUT* classifyOut
   )
void 
NTAPI
WallALERecvAcceptClassify(
   IN const FWPS_INCOMING_VALUES* inFixedValues,
   IN const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
   IN OUT void* layerData,
   IN const void* classifyContext,
   IN const FWPS_FILTER* filter,
   IN UINT64 flowContext,
   OUT FWPS_CLASSIFY_OUT* classifyOut
   );

packet = (PWALL_PENDED_PACKET)listEntry;
        if( gbBlockAll )
            packet->authConnectDecision = FWP_ACTION_BLOCK;
        else if( gbEnableProcessMonitor && !WallIsProcessTrafficPermit(packet))
            packet->authConnectDecision = FWP_ACTION_BLOCK;
        else if ( gbEnableIpMonitor && !WallIsIpTrafficPermit(packet))
            packet->authConnectDecision = FWP_ACTION_BLOCK;
        else if( gbEnableDnsMonitor && !WallIsDnsTrafficPermit( packet ))
            packet->authConnectDecision = FWP_ACTION_BLOCK;
        else
            packet->authConnectDecision = FWP_ACTION_PERMIT;

typedef struct _PROCESS_RULES_ELEM
{
    UINT32   crcPath;
    UINT32   rule;      //32位值，各个位的功能参看下边的宏定义
}PROCESS_RULES_ELEM,*PPROCESS_RULES_ELEM;
typedef struct _PROCESS_RULES_TABLE
{
    UINT8                count;
    PROCESS_RULES_ELEM  rules[ MAX_PROCESS_RULES_NUM ];
}PROCESS_RULES_TABLE,*PPROCESS_RULES_TABLE;

NTSTATUS
AddProcessRule( IN UINT32 crcPath,IN UINT32 rule )
{
    UINT8   xorsum = 0;
    UINT32  key,i;
    LOG("into\n");
    if( gProcessRulesTable.count >= MAX_PROCESS_RULES_NUM )
        return STATUS_PROCESS_RULES_FULL;
    if ( IsProcessRuleExist( crcPath ))
        return STATUS_PROCESS_RULES_EXISTED;
    if( crcPath == 0 )crcPath = ZERO_CRC_VALUE;
    key = crcPath;
	//哈希函数
    for( i = 0;i < 32;i++)
    {
        xorsum ^= key & 0xff;
        key >>= 1;
    }
	//处理哈希冲突
    for( i = xorsum;;i = (i + 1 ) % MAX_PROCESS_RULES_NUM )
    {
        if( gProcessRulesTable.rules[i].crcPath == 0 )
            break;
    }
    gProcessRulesTable.rules[i].crcPath = crcPath;
    gProcessRulesTable.rules[i].rule = rule;
    gProcessRulesTable.count++;
    return STATUS_SUCCESS;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

简易文档.doc （101.50kb，1578次下载）
CactiWall.rar （343.24kb，2079次下载）
初始规则.reg.txt （25.50kb，1374次下载）
1.png （7.84kb，263次下载）
2.png （15.87kb，162次下载）
3.png （8.86kb，148次下载）
4.png （3.65kb，133次下载）
5.png （4.05kb，135次下载）
6.png （4.34kb，142次下载）
7.png （10.11kb，150次下载）
8.png （4.46kb，135次下载）
9.png （3.53kb，156次下载）

收藏・154

免费・9

支持

最新回复 (74) 1 2 3 ▶
Protected 雪币： 6723 活跃值： (1199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 2 楼 Thanks for share! 2013-6-19 12:39 0
榨sui悲伤雪币： 88 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	榨sui悲伤 3 楼多谢分享， 2013-6-19 12:42 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 4 楼 3Q 2013-6-19 12:50 0
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 362 粉丝 0 关注私信	wrgg 5 楼感谢分享我有个同学就是做的这个帮他下了 2013-6-19 13:00 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 6 楼感谢分享 2013-6-19 13:18 0
hotsauce 雪币： 268 活跃值： (443) 能力值： ( LV9，RANK：375 ) 在线值：发帖 11 回帖 108 粉丝 0 关注私信	hotsauce 7 楼感谢分享 2013-6-19 14:08 0
suiyingjie 雪币： 24893 活跃值： (1028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 1 关注私信	suiyingjie 8 楼支持一下，这块的资料不多，大部分的都是MSDN上的。 2013-6-19 14:09 0
fkt 雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fkt 9 楼感谢分享收藏 2013-6-19 14:22 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 10 楼刚上传了初始规则的注册表配置文件，里边有些常用的垃圾域名…… 2013-6-20 05:09 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 11 楼这方面的资料不好找啊，谢谢分享了 2013-6-20 09:21 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 12 楼谢谢分享 2013-6-20 09:40 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 13 楼多谢分享~ 2013-6-20 17:18 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 14 楼 thanks for your share~ 2013-6-20 22:31 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼感谢lz无私分享， 2013-6-20 22:45 0
kaykay 雪币： 167 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	kaykay 16 楼 thanks for share 2013-6-21 11:48 0
wykyang 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wykyang 17 楼好东西好东西~~~感谢楼主分享 2013-6-21 11:51 0
zdyruoshui 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	zdyruoshui 18 楼谢谢楼主分享，文档写的不错 2013-6-21 12:39 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 19 楼 lz分享了代码也分享了优秀品质哈哈下面的继续夸 2013-6-21 16:43 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 20 楼楼主的分享精神值得称赞！下载下来学习 2013-6-21 22:53 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 21 楼分享精神倒是谈不上，主要原因是还没被包养…… 代码一分钱不值，送给大家也许还有点儿用。 2013-6-22 18:45 0
smartdj 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	smartdj 22 楼感谢楼主的分享，以及作出的贡献 2013-10-21 14:33 0
daviyang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	daviyang 23 楼感谢分享，收藏备用 2013-12-3 23:30 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 24 楼收藏，感谢分享~~ 2013-12-4 17:38 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 25 楼 “WFP被用于取代以前的NDIS过滤” 这话说的。。。。WFP的东西能替代ndis的东西？笑话。。。二者完全是不同层级上的东西，用途及适用场合都各自不同，何来替代一说 2013-12-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (74) 1 2 3 ▶
Protected 雪币： 6723 活跃值： (1199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 344 粉丝 1 关注私信	Protected 2 楼 Thanks for share! 2013-6-19 12:39 0
榨sui悲伤雪币： 88 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	榨sui悲伤 3 楼多谢分享， 2013-6-19 12:42 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 4 楼 3Q 2013-6-19 12:50 0
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 362 粉丝 0 关注私信	wrgg 5 楼感谢分享我有个同学就是做的这个帮他下了 2013-6-19 13:00 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 6 楼感谢分享 2013-6-19 13:18 0
hotsauce 雪币： 268 活跃值： (443) 能力值： ( LV9，RANK：375 ) 在线值：发帖 11 回帖 108 粉丝 0 关注私信	hotsauce 7 楼感谢分享 2013-6-19 14:08 0
suiyingjie 雪币： 24893 活跃值： (1028) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 1 关注私信	suiyingjie 8 楼支持一下，这块的资料不多，大部分的都是MSDN上的。 2013-6-19 14:09 0
fkt 雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fkt 9 楼感谢分享收藏 2013-6-19 14:22 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 10 楼刚上传了初始规则的注册表配置文件，里边有些常用的垃圾域名…… 2013-6-20 05:09 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 11 楼这方面的资料不好找啊，谢谢分享了 2013-6-20 09:21 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 12 楼谢谢分享 2013-6-20 09:40 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 13 楼多谢分享~ 2013-6-20 17:18 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 14 楼 thanks for your share~ 2013-6-20 22:31 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼感谢lz无私分享， 2013-6-20 22:45 0
kaykay 雪币： 167 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	kaykay 16 楼 thanks for share 2013-6-21 11:48 0
wykyang 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	wykyang 17 楼好东西好东西~~~感谢楼主分享 2013-6-21 11:51 0
zdyruoshui 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	zdyruoshui 18 楼谢谢楼主分享，文档写的不错 2013-6-21 12:39 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 19 楼 lz分享了代码也分享了优秀品质哈哈下面的继续夸 2013-6-21 16:43 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 20 楼楼主的分享精神值得称赞！下载下来学习 2013-6-21 22:53 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 21 楼分享精神倒是谈不上，主要原因是还没被包养…… 代码一分钱不值，送给大家也许还有点儿用。 2013-6-22 18:45 0
smartdj 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	smartdj 22 楼感谢楼主的分享，以及作出的贡献 2013-10-21 14:33 0
daviyang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	daviyang 23 楼感谢分享，收藏备用 2013-12-3 23:30 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 24 楼收藏，感谢分享~~ 2013-12-4 17:38 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 25 楼 “WFP被用于取代以前的NDIS过滤” 这话说的。。。。WFP的东西能替代ndis的东西？笑话。。。二者完全是不同层级上的东西，用途及适用场合都各自不同，何来替代一说 2013-12-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复