《简易Windows防火墙的设计与实现》由会员分享,可在线阅读,更多相关《简易Windows防火墙的设计与实现(34页珍藏版)》请在金锄头文库上搜索。
1、简易Windows防火墙的设计与实现 分类号:TP311.1 U D C:D10621-408-20076003-0密 级:公 开编 号:2003031224成都信息工程学院学位论文简易Windows防火墙的设计与实现论文作者姓名:刘钟申请学位专业:计算机科学与技术申请学位类别:工学学士指导教师姓名(职称):索望论文提交日期:2007年06月10日简易Windows防火墙的设计与实现摘 要 当今时代是飞速发展的信息时代,计算机与信息处理技术日渐成熟。随着Internet和计算机网络技术的蓬勃发展,网络安全问题现在已经得到普遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。本设计实现的防
2、火墙采用IP过滤钩子驱动技术,过滤钩子驱动是内核模式驱动,它实现一个钩子过滤回调函数,并用系统提供的IP过滤驱动注册它,IP过滤驱动随后使用这个过滤钩子来决定如何处理进出系统的数据包。本防火墙由以下几个模块组成:过滤规则添加模块,过滤规则显示模块,过滤规则存储模块,文件储存模块,安装卸载规则模块,IP封包过滤驱动功能模块。用户只需要通过主界面菜单和按钮就可以灵活地操作防火墙,有效地保护Windows系统的安全。 关键词:防火墙;过滤钩子;过滤驱动;包过滤The Design and Implement of Simple Windows FirewallAbstract The current
3、 era is a rapid development of information age. The technologies of computer and information processing become maturity. With the Internet and computer network technology to be flourishing, network security that has been widely concerned. Firewall system is one of the security technologies that used
4、 in the network. This design has implemented a firewall adopting the IP filter-hook driver technology; its driven through the kernel mode, the filter-hook callback function has been implemented and the filter-hook driver is registered by the IP filter driver which is provided by system. The IP filte
5、r driver uses the filter-hook to handle the data packets in and out. The firewall is composed of the following modules: adding filter rules module, display filter rules module, storage filter rules module, storage file module, installation and unloading rules module, IP packet driver module. Users c
6、an finish the operation by using main menu and button and protect the system effectively. Key words: Firewall; Filter-Hook; Filter Driver; Packet Filtering目 录论文总页数:21页1引言11.1课题背景11.2本课题研究意义11.3本课题研究方法12防火墙概述12.1防火墙的定义12.2防火墙的基本策略22.3包过滤防火墙2 2.3.1 数据包2 2.3.2 包过滤防火墙的工作原理23开发工具33.1Visual C+ 6.033.2VSS3
7、4防火墙系统构成34.1需求分析34.2设计思路44.3功能模块构成44.4功能模块介绍4 4.4.1 过滤规则添加删除功能模块4 4.4.2 过滤规则显示功能模块4 4.4.3 过滤规则存储功能模块5 4.4.4 文件存储功能模块5 4.4.5 文件载入功能模块5 4.4.6 安装卸载功能摸块5 4.4.7 IP封包过滤驱动功能模块55防火墙设计55.1程序关键类5 5.1.1 应用程序类CFireWallAPP5 5.1.2 主框架类CMainFrame5 5.1.3 文档类CFireWallDoc6 5.1.4 视图类CFireWallView7 5.1.5 _RuleInfo类75.2
8、详细设计8 5.2.1 主界面8 5.2.2 添加过滤规则8 5.2.3 删除过滤规则115.3驱动程序设计13 5.3.1 简介13 5.3.2 结构图14 5.3.3 该驱动的优点14 5.3.4 本程序的驱动设计146程序测试16结 论18参考文献19致 谢20声 明21引言 课题背景 防火墙是一种隔离技术,是一类防范措施的总称,利用它使得内部网络与Internet或者其他外部网络之间相互隔离,通过限制网络互访来保护内部网络。防火墙是建立在内部网络与外部网络之间的唯一安全通道,简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现,它可以在IP层设置屏障,也可以用应用软件来阻止外来
9、攻击。通过制定相应的安全规则,可以允许符合条件的数据进入,同时将不符合条件的数据拒之门外,这样就可以阻止非法用户的侵入,保证内部网络的安全。 本课题研究意义 随着计算机技术和网络技术的发展,计算机网络给人们带来了很多便利,于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。使用防火墙能很好的提高系统的安全性,减少系统受到网络安全方面的威胁。本毕业设计选择开发一个Windows下的防火墙,它能够对网络IP数据包按照用户的设置进行过滤。通过此防火墙的开发锻炼了学生的实际动手能力对以后的学习和工作能力的培养具有重要意义。 本课题研究方法 本设计是使用VC+ 6.0的开发环境,运用IP过滤钩子驱动
10、技术设计和实现的。本次毕业设计应首先分析防火墙的相关功能,结合本次毕业设计的相关要求写出需求分析;其次,综合运用以前所学的相关知识,在设计中以需求分析为基础,写出系统开发计划、实现流程及相关问题的实现方法;同时,在开发设计与实现中,要保存好相关的设计文档。防火墙概述 防火墙的定义 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之
11、间的任何活动,保证了内部网络的安全。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。 防火墙的基本策略 按照美国国家计算机安全协会(NCSA)的建议,制定安全计划必须包括服务访问策略和防火墙设计策略。服务访问策略应包括控制用户对某些Internet服务的访问。另外,用户也需要限制访问的方式,如PPP或SLIP。在建立服务访问政策时,需要注意两个方式: 1、不允许从Internet上访问到用户的网络,但是允许个别用户(设定得到)的网络访问有限Inte
12、rnet站点。但必须进行地址伪装; 2、允许有限的从Internet上访问到公司网络,如从Internet上只能访问公司的和FTP服务器。 作为防火墙策略,就是定义实现服务访问策略的具体规则。在实现防火墙策略时,用户可以采用以下两个原则之一: 1、除了允许的事件之外,拒绝其它的任何事件。 2、除了拒绝的事件之外,允许其它的任何事件。 制定的策略是由一条条规则构成的,防火墙的规则可分为三条链:输入链、输出链和转发链。 包过滤防火墙 数据包 数据包是指IP网络消息。IP标准定义了在网上两台计算机之间发送的消息的结构.结构上,一个包包含了一个信息头和应被传送数据的一段消息体。Linux中包含的IP防
13、火墙机制3种IP消息类型:ICMPInternet控制消息协议、UDP用户数据报协议和 TCP传输控制协议。所有的IP包头包含了源、目的IP地址、IP协议消息类型。包头里根据协议类型还包括了不同的字段。ICMP数据包包含了一个类型字段,用来标识控制或状态消息类型。UDP和TCP包包含了源和目的服务端口号。 包过滤防火墙的工作原理 采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。因为路由
14、器通常分布在有不同安全需求和安全策略的网络的交界处,因此可以通过在路由器上使用包过滤在可能的情况下实现只允许授权网络的数据进入。在这些路由器上使用包过滤师一种比较经济的在现有路由基础结构上增加防火墙功能的机制。顾名思义,包过滤在路由过程中对指定包进行过滤(丢弃)。对过滤的判断通常基于单个包的头部所包含的内容(例如源地址,目的地址,协议,端口等)。 包过滤防火墙通常在操作系统内部实现,并且操作在IP网络和传输协议层。它在对基于IP包头信息实施过滤后,通过对包的路由作决策来保护系统。包过滤防火墙由一组接受或禁止规则列表组成。这些规则明确定义了哪个包将被允许或不允许通过网络接口。防火墙规则使用在上面
15、描述的包头字段来决定是否允许路由一个包通过,以达到它的目的,或则无声息的将包丢弃掉,或阻止包并向它的发送机器返回一个错误状态。这些规则是基于特定的网络接口卡和主机IP地址、网络层源和目的IP地址、传输层TCP和UDP服务端口、TCP连接标志、网络层ICMP消息类型及这些包是进入的还是发出的。 包过滤功能是所有的防火墙都具备的一个基本功能,实际上防火墙要完成的功能从根本上来说,就是要按照用户的要求来控制网络所流通的数据包,屏蔽那些无益的连接。开发工具 Visual C+ 6.0 Visual C+6.0 是微软98 年推出的产品,它提供了强大的编译能力以及良好的界面操作性。能够对Windows 9x、Windows NT 以及Windows 2000 下的C+程序设计提供完善的编程环境。同时Visual C+6.0 对网络、数据库等方面的编程也都提供相应的环境支持。 VSS
