1、防火墻的設(shè)計與實現(xiàn),07計科馬樂,目錄,1.課題背景 12.添加與刪除規(guī)則流程圖 2.研究方法 13.驅(qū)動程序設(shè)計 3.意義 14.程序測試圖 4.防火墻介紹 15.優(yōu)缺點 5.基本類型 16.總結(jié) 6.獲取封包基礎(chǔ)知識 17.引用作品 7.協(xié)議概略影射圖 18.謝辭 8.需求分析與設(shè)計思路 9.功能模塊與圖 10.程序關(guān)鍵類 11. 系統(tǒng)界面,課題背景,防火墻是一種隔離技術(shù)，是一類防范措施的總稱，利用它使得內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)之間相互隔離，通過限制網(wǎng)絡(luò)互訪來保護內(nèi)部網(wǎng)絡(luò)。防火墻是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一安全通道，簡單的可以只用路由器實現(xiàn)，復(fù)雜的可以用主機甚至一

2、個子網(wǎng)來實現(xiàn)，它可以在IP層設(shè)置屏障，也可以用應(yīng)用軟件來阻止外來攻擊。通過制定相應(yīng)的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進入，同時將不符合條件的數(shù)據(jù)拒之門外，這樣就可以阻止非法用戶的侵入，保證內(nèi)部網(wǎng)絡(luò)的安全。,本課題研究方法,本設(shè)計運用IP過濾技術(shù)設(shè)計和實現(xiàn)。本次畢業(yè)設(shè)計應(yīng)首先分析防火墻的相關(guān)功能，結(jié)合本次畢業(yè)設(shè)計的相關(guān)要求寫出需求分析；其次，綜合運用自己所學(xué)的相關(guān)知識，在設(shè)計中以需求分析為基礎(chǔ)，寫出系統(tǒng)開發(fā)計劃、實現(xiàn)流程及相關(guān)問題的實現(xiàn)方法。,意義,隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)給人們帶來了很多便利，于此同時網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴重。使用防火墻能很好的提高系統(tǒng)的

3、安全性，減少系統(tǒng)受到網(wǎng)絡(luò)安全方面的威脅。 本畢業(yè)設(shè)計選擇開發(fā)一個Windows下的防火墻。通過此防火墻的開發(fā)鍛煉了我們的實際動手能力對以后的學(xué)習(xí)和工作能力的培養(yǎng)具有重要意義。,防火墻的介紹,放火墻是一類防范措施的總稱。所謂“防火墻”，是指一種將內(nèi)聯(lián)網(wǎng)和公眾訪問網(wǎng)(外聯(lián)網(wǎng)Internet)分開的方法，它使得內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)互相隔離，限制網(wǎng)絡(luò)互訪來保護內(nèi)部網(wǎng)絡(luò)。它是一個或一組由軟件和硬件構(gòu)成的系統(tǒng)，在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問網(wǎng)絡(luò)，防止重要信息被更改、拷貝、毀壞。設(shè)置防火墻目的都

4、是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。,防火墻的基本類型,從實現(xiàn)防火墻的技術(shù)來分，有四大類： 1.網(wǎng)絡(luò)級防火墻 2.應(yīng)用級網(wǎng)關(guān) 3.電路級網(wǎng)關(guān) 4.規(guī)則檢查防火墻,截取網(wǎng)絡(luò)封包基礎(chǔ)知識,截獲網(wǎng)絡(luò)封包的方法有多種。 1.NDIS 2.TDI 3.SPI 4.API,協(xié)議與Windows結(jié)構(gòu)的概略映射圖,需求分析與設(shè)計思路,根據(jù)程序的需求來完成功能和模塊化設(shè)計的思想，總體設(shè)計思路如下： 任何程序都必須具有和用戶進行信息交互的功能，因此用戶接口部必須考慮，根據(jù)功能要求，該部分應(yīng)具備：用戶操作的功能菜單、能對過濾規(guī)則進行設(shè)置、顯示規(guī)則界面、添加規(guī)則界面。 這樣程序的功能模 塊應(yīng)

5、該有：過濾規(guī)則添加刪除功能模塊，過濾規(guī)則顯示功能模塊，過濾規(guī)則存儲功能模塊，文件儲存功能模塊，安裝卸載規(guī)則功能模塊。,功能模塊,過濾添加刪除功能模塊 過濾規(guī)則顯示功能模塊 過濾規(guī)則存儲功能模塊 文件存儲功能模塊 文件載入功能模塊 安裝卸載功能摸塊 IP封包過濾驅(qū)動功能模塊,功能模塊圖,程序關(guān)鍵類,1.應(yīng)用程序類CFireWallAPP 2.主框架類CMainFrame 3.文檔類CFireWallDoc 4.視圖類CFireWallView 5.RuleInfo類,系統(tǒng)界面,添加過濾規(guī)則界面,添加過濾規(guī)則流程圖,刪除過濾規(guī)則流程圖,驅(qū)動程序設(shè)計,基于Firewall-Hook Driver的包

6、過濾驅(qū)動程序位于核心態(tài)，運行效率高，主要用于在IP過濾驅(qū)動中攔截所有的網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)過濾規(guī)則判別是否接收或發(fā)送數(shù)據(jù)包。同時處理上層應(yīng)用程序發(fā)送的IRP，接收應(yīng)用程序發(fā)送的過濾規(guī)則等。,程序測試圖,測試圖,測試圖,測試圖,測試圖,優(yōu)缺點,本軟件的優(yōu)點： 首先，它不會象其它防火墻一樣在對應(yīng)用程序初始授權(quán)時彈出詢問窗口,破壞用戶的心情。 其次，本軟件是基于狀態(tài)檢測技術(shù)的，對于通過它的數(shù)據(jù)包都要進行檢測，而不管應(yīng)用程序是否已經(jīng)得到用戶授權(quán)。它會自動對本地數(shù)據(jù)包的一些關(guān)鍵信息進行狀態(tài)檢測，符合安全規(guī)則的就放行，不符合的就要采取相應(yīng)措施來處理。 第三，查詢功能使管理員能夠有效的查找所需記錄。 本軟件的不

7、足之處很多，概括起來主要有以下兩點： 一是界面比較單調(diào)。在如今越來越重視用戶界面的友好性和交互性的情況下，本軟件的界面讓人覺得枯燥無味。 二是功能較單一。它只能檢測TCP/SYN攻擊和UDP攻擊，對其它攻擊則不作響應(yīng)。此外，對這兩個攻擊的分析還不夠深入，狀態(tài)檢測機制還不夠完善。這其中一部分原因是由于時間不允許，不能再作進一步分析，只能靠后人來完善了。,總結(jié),此防火墻操作簡單，能夠?qū)崿F(xiàn)包過濾功能。按照用戶設(shè)置的規(guī)則進行數(shù)據(jù)包過濾。能運行于Windows系統(tǒng)，屏蔽不安全的站點、對進出的網(wǎng)絡(luò)數(shù)據(jù)進行過濾，在一定程度上提高了系統(tǒng)的安全性，可有效的防止計算機受到外部網(wǎng)絡(luò)攻擊。此防火墻的開發(fā)是在了解和熟悉

8、了TCP、UDP、ICMP協(xié)議以及IP封包過濾驅(qū)動的基礎(chǔ)上，運用VC+這一編程語言來開發(fā)的。相對于互聯(lián)網(wǎng)上的知名防火墻相比整個防火墻還不成熟，但它具有操作簡單明了的特點。在以后的學(xué)習(xí)中隨著自身技術(shù)的提高，我會進一步完善整個防火墻，使它具有更多的功能對計算機安全起到更好的作用。,引用的作品,1 朱燕輝 朱燕冰.Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù).北京：電子工業(yè)出版社.2002.7.第一版:524. 2 汪嘵平 鐘軍等.Visual C+網(wǎng)絡(luò)通信協(xié)議分析與應(yīng)用實現(xiàn).北京：人民郵電出版社.2003.2.第一版:2269.571599. 3 譚浩強.C程序設(shè)計.北京：清華大學(xué)出版社.1999.12.第二版:377387. 4 Keith E.Strassberg,Richard J.Gondek,Gary Rollie etal.防火墻技術(shù)