《防火墙实时监控系统设计》由会员分享,可在线阅读,更多相关《防火墙实时监控系统设计(27页珍藏版)》请在金锄头文库上搜索。
1、计算机科学学院2000级毕业设计 OurFirewall2004防火墙Ourfirewall2004防火墙系统开发小组:李 骞 计算机科学与技术 2000级2班李 琳 计算机科学与技术 2000级2班王重英 计算机科学与技术 2000级2班郭金巧 计算机科学与技术 2000级3班指导老师:吴振强 副教授张 莉 老师 摘要:本文着重介绍“OurFirewall2004”防火墙系统:该OurFirewall2004是一个基于TCP/IP协议的网络应用系统,它提供了一个网络实时监控、数据包过滤、日志记录、安全级别设置等功能,为网络安全的控制提供了重要手段。关键字: 网络监控 包过滤 API(应用程序
2、编程接口) 动态链接库(DLL) 网络侦听 日志记录 安全级别Abstract:In this paper ,we present our firewall system which is“OurFirewall2004”: it is a network application system based on TCP/IP, it supplies many functions such as network monitor , Packet filtering, the daily recording, the grades of security and so on.It gives o
3、ut an important method for the control of network security. Key word :The network supervises and control The data pack filtering Dynamic Link LibraryAPI(Application Programming Interface)Network Listening Daily record Security Grade目录摘要1防火墙简介3 前 言 3 网络安全状况 3防火墙是什么3防火墙能干什么4防火墙采用哪些技术4第一部分 系统说明6一、 系统简介
4、 6二、系统基本功能 7第二部分系统开发环境与工具的选择 8第三部分 系统设计 9一、系统概要设计 9二、系统详细设计 91、系统流程图的设计 102、功能实现的设计 10第四部分 各部分的技术和关键代码 12一、 实时监控 12二、 过滤 22三、 安全日志 22四、 安全级别 22第五部分 使用说明 22一 、安装与卸载 22 二、具体使用说明 23第六部分:系统测试 24第七部分:系统维护 25第八部分:结束语 25参考资料 26附录 26防火墙简介:软件名称:OurFirewall2004防火墙软件分类:网络安全工具-2004防火墙出版日期: 2004-05-26版 本: V1.0版操
5、作系统: Windows 2000/NT(sp6)/98/ME/XP语言界面: 简体中文原创单位: 陕西师范大学计算机科学学院2000级学校网址: http:/ Rules)把守网络,提供强大的包过滤、网络实时监控、安全级别设置、日志审计等功能。目前的版本是v1.0版本。由于时间仓促,该防火墙在许多方面还有待于进一步改善。前 言网络安全状况随着计算机网络的发展,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,计算机网络的资源共享进一步加强,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,但是在提高信息利用率的同时,也给计算机
6、网络系统的安全性和保密性带来了前所未有的挑战。事实上internet存在严重的安全漏洞,2000年初,黒客大规模袭击雅虎、亚马逊等电子商务网点,网站一度陷入瘫痪;国内新浪、163等网站也曾遭遇黒客的攻击。据估计,目前Internet的600多万台主机大约有半数以上经受着入侵的威胁,这是因为Internet网络属于公共服务的网络系统,以Unix操作系统为主,任何人都能非常容易地在网络上漫游并实施入侵。原本安全的企业网络连入Internet后,如不加防范措施,将极易遭受到入侵者的侵犯,造成专有资源的流失甚至网络的瘫痪。由此网络安全问题很现实地摆在我们面前.即网络安全需要能针对各种不同的威胁和脆弱性
7、提供全方位的解决方案,确保网络的保密性、完整性、可行性。迫于这种情况,各大网站、企业纷纷加筑安全的战壕,而这个战壕就是防火墙。那么到底什么是防火墙?防火墙能干什么?它采用了哪些技术?什么是防火墙?防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。在逻辑上,防火墙是隔离器、限制器、分析器,有效地监控了内部网和外部网的任何活动。在物理上,防火墙即可以是单纯的硬件设备路由器、主计算机,也可以是软件产品,还可以是路由器、计算机和配有软件的网络的组合。防火墙逻辑位置示意图防火墙能干什么?l 防火
8、墙是网络安全的屏障l 防火墙可以强化网络安全策略l 对网络存取和访问进行监控审计l 防止内部信息的外泄防火墙有哪些技术? 防火墙技术从原理上主要分为三种:信息包过滤技术(Packet filter)、代理技术(Proxy)、状态分析技术(Sstateful inspection)。l 包过滤技术分为静态包过滤和动态包过滤技术。 静态包过滤技术是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。 静态包过滤技术示意图 动态包过滤技术是采用动态设置包过滤规则的方法,对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 动态包过滤技术示意图l
9、代理技术分传统代理技术和自适应代理技术 传统代理技术的防火墙是将代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好象是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。 传统代理技术示意图自适应代理技术结合了代理型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础上将代理型防火墙的性能提高十倍以上。 传统代理技术示意图l 状态检测技术,它克服了包过滤技术和应用代理技术的局限性,状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标
10、准的数据包,这使得本身的运行非常快速。这种防火墙的优点是一旦某个访问违反安全规定就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用和用户数据报之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。 状态检测技术示意图 第一部分:系统说明一、系统简介我们所开发的“OurFireWall2004”防火墙系统是一个基于TCP/IP协议的网络应用系统,它提供了网络实时监控、数据包过滤、日志记录、安全级别设置等功能,在系统底层、网络层和应用层对系统进行双重保护,有效地保护内部网络,使其免受来自外部的攻击。为个人PC 提供强有力安全屏、为网络安全的控
11、制提供了重要手段。“OurFirewall2004”采用了包过滤技术,有效地实现了基于IP地址的过滤、远程以及本地端口的过滤. “OurFirewall2004”能够强制日志记录(LOG)。由于该防火墙上具有日志服务功能,用户或安全管理员可以监视所有从外部网或互联网的访问,日志记录是全面掌握网络安全状况、衡量防火墙性能和作用的重要手段。 “OurFirewall2004”提供不同级别的安全设置。由于不同的对象对安全级别的要求有所不同,本系统为用户提供了四个安全等级。“OurFirewall2004”能够对当前网络与本机的通讯状况进行侦听、监控,由此可分析网络性能、排除网络故障。“OurFire
12、wall2004帮助”能够系统引导用户安装、使用、卸载防火墙,为用户提供便利。二、系统基本功能1、过滤远程IP、远程端口(remote port)、本地端口(local port) 包过滤是在网络层对数据包的目标地址、以及包所使用的端口确定是否允许该类数据包通过。如果防火墙设定禁止访问某一IP或端口的话,从这个IP地址或端口而来的所有信息都会被防火墙阻断。换句话讲,利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。2、添加需要拦截的IP、远程端口、本地端口由于一些不良网站、不受欢迎的网络地址(IP)或木马端口(PORT)的存在,用户可根据需要灵活添加过滤规则,来屏蔽网络地址和端口。3、删除IP、远程端口、本地端口 用户可根据个人需要来取消一些过滤规则。4、记录并显示访问时间、
