利用WinSock2 SPI进行网络内容访问控制

　　编者按：与传统的包过滤防火墙技术不同，本文从应用层网关技术入手，深入探讨了利用WinSock2 SPI进行网络内容访问控制的问题。这是网络安全的一项新内容，或者说，它为网络安全技术的爱好者和研发人员提供了一个新的思路。

　　防火墙可以实施和执行网络访问策略，但是，传统的防火墙技术集中于如何防范外部网络对内部网络的入侵和攻击上，而对于如何控制内部用户对外部网络的访问问题研究不够深入，相关的控制技术也不多。据权威资料显示，全球现有大约25万色情网站，单纯依靠传统的包过滤等防火墙技术，势必会严重影响网络性能。针对这一问题，我们从应用层网关技术入手，利用WinSock2 SPI技术，进行了研究和探讨。

　　Winsock2 SPI原理图

　　Winsock2 SPI（Service Provider Interface）服务提供者接口建立在Windows开放系统架构WOSA（Windows Open System Architecture）之上，是Winsock系统组件提供的面向系统底层的编程接口。Winsock系统组件向上面向用户应用程序提供一个标准的API接口；向下在Winsock组件和Winsock服务提供者（比如TCP/IP协议栈）之间提供一个标准的SPI接口。各种服务提供者是Windows支持的DLL，挂靠在Winsock2 的Ws2_32.dll模块下。

　　对用户应用程序使用的Winsock2 API中定义的许多内部函数来说，这些服务提供者都提供了它们的对应的运作方式(例如API函数WSAConnect有相应的SPI函数WSPConnect)。多数情况下，一个应用程序在调用Winsock2 API函数时，Ws2_32.dll会调用相应的Winsock2 SPI函数，利用特定的服务提供者执行所请求的服务。

　　Winsock2 SPI允许开发两类服务提供者——传输服务提供者和名字空间服务提供者。“传输提供者”（Transport Providers, 一般称作协议堆栈，例如TCP/IP）能够提供建立通信、传输数据、日常数据流控制和错误控制等传输功能方面的服务。“名字空间提供者”（Name Space Providers，例如DNS名字解析服务）则把一个网络协议的地址属性和一个或多个用户友好名称关联到一起，以便启用与应用无关的名字解析方案。