已阅读5页,还剩15页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
题目:windows xp包过滤防火墙的设计与实现论 文 摘 要当今时代是飞速发展的信息时代,计算机与信息处理技术日渐成熟。随着internet和计算机网络技术的蓬勃发展,网络安全问题现在已经得到普遍中重视。网络防火墙系统就是网络安全技术在实际中的应用之一。本设计实现的防火墙采用ip过滤钩子驱动技术,过滤钩子驱动是内核模式驱动,它实现一个钩子过滤回调函数,并用系统提供的ip过滤驱动注册它,ip过滤驱动随后使用这个过滤钩子来决定如何处理进出系统的数据包。本防火墙由以下几个模版组成:过滤规则添加模块、过滤规则显示模块、过滤规则储存模块、文件储存模块、安装卸载规则模块,ip封包过滤驱动功能模块。用户只需要通过主界面菜单和按钮就可以灵活地操作防火墙,有效地保护windows系统的安全。关键词:防火墙;过滤钩子;过滤驱动;包过滤design and implementation of windows xp packet filter firewall abstractthe present era is the rapid development of the information age,computer and information processing technology is reaching maturity.with the internet and the rapid development of computer network technology, network security issues are now widely in importance.network firewall network security technology system is one of the applications in practice.the design and implementation of firewall ip filter hook driver technology, filter hook driver is a kernel-mode driver, which implements a filter hook callback function, and use the ip system filter driver to register it, ip filter driver then use this filter to determine how to hook processing data packets out of the system.the firewall component by the following template: filtering rule module, display module filter rules, filter rules for storage modules, file storage module, the module installed uninstall rules, ip packet filtering driver modules.users only need to interface through the main menus and buttons have the flexibility to operate the firewall, effectively protect windows-based system.key words: firewall,filter hook,filter driver,packet filtering 目 录1 引言 1.1 课题背景.5 1.2 本课题研究意义.5 1.3 本课题研究方法.52 防火墙概述 2.1 防火墙的定义.6 2.2 防火墙的基本策略.6 2.3 包过滤防火墙.6 2.3.1 数据包.6 2.3.2 包过滤防火墙的工作原理.73 开发工具 3.1 visual c+ 6.0.7 3.2 visual sourcesafe.84 防火墙系统构成 4.1 需求分析.8 4.2 设计思路.8 4.3 功能模块构成.9 4.4 功能模块介绍.9 4.4.1 过滤规则添加删除功能模块.9 4.4.2 过滤规则显示功能模块.9 4.4.3 过滤规则存储功能模块.10 4.4.4 文件存储功能模块.10 4.4.5 文件载入功能模块.10 4.4.6 安装卸载功能模块.10 4.4.7 ip封包过滤驱动功能模块.105 防火墙设计 5.1 程序关键类 5.1.1 应用程序类cfirewallapp.10 5.1.2 主框架类cmainframe.10 5.1.3 文档类cfirewalldoc.12 5.1.4 视图类cfirewallview.12 5.1.5 _ruleinfo类.13 5.2 详细设计 5.2.1 主界面.13 5.2.2 添加过滤规则.14 5.2.3 删除过滤规则.15 5.3 驱动程序设计 5.3.1 简介.15 5.3.2 结构图.16 5.3.3 该驱动的优点.16 5.3.4 本程序的驱动设计.16结 论.17参 考 文 献.17致 谢.18windows xp包过滤防火墙的设计与实现1 引言 1.1 课题背景防火墙是一种隔离技术,是一类防范措施的总称,利用踏实的内部网络与internet或者其他外部网络之间相互隔离,通过限制网络互访来保护内部网络。防火墙是建立在内部网络与外部网络之间的唯一安全通道,简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现,它可以在ip层设置屏障,也可以用应用软件来阻止外来攻击。通过制定相应的安全规则,可以允许符合条件的数据进入,同时将不符合条件的数据拒之门外,这样就可以阻止非法用户的侵入,保证内部网络的安全。1.2 本课题研究意义随着计算机技术和网络技术的发展,计算机网络给人们带来了很多便利,与此同时网络安全的问题也伴随着网络技术的发展而日趋严重。使用防火墙能很好的提高系统的安全性,减少系统收到网络安全方面的威胁。本毕业设计选择开发一个windows下的防火墙,它能够对网络ip数据包按照用户的设置进行过滤。通过此防火墙的开发锻炼了学生的实际动手能力,对以后的学习和工作能力的培养具有重要意义。1.3 本课题研究方法本设计使用vs2010开发,运用ip过滤钩子驱动技术设计和实现的。本次毕业设计应首先分析防火墙的相关功能,结合本次毕业设计的相关要求写出需求分析;其次,综合运用以前所学的相关知识,在设计中以需求分析为基础,写出系统开发计划、实现流程及相关问题的实现方法;同时,在开发设计与视线中,要保存好相关的设计文档。2 防火墙概述2.1 防火墙的定义防火墙是指设置在不同网络(如可信的企业内部网和不可信的公开网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全。防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。2.2 防火墙的基本策略按照美国国家计算机安全协会(ncsa)的建议,制定安全计划必须包括服务访问策略和防火墙设计策略。服务访问策略应包括控制用户对某些internet服务的访问。另外,用户也需要限制访问的方式,如ppp或slip。在建立服务访问政策时,需要注意两个方式:1. 不允许从internet上访问到用户的网络,但是允许个别用户(设定得到)的网络访问有限internet站点。但必须进行地址伪装;2. 允许有限的从internet上访问到公司网络,如从internet上只能访问公司的www和ftp服务器。作为防火墙策略,就是定义实现服务访问策略的具体规则。在实现防火墙策略时,用户可以采用以下两个原则之一:1. 除了允许的事件之外,拒绝其他所有的事件。2. 除了拒绝的事件之外,允许其他的任何事件。制定的策略是由一条条规则构成的,防火墙的规则可分为三条链:输入链、输出链和转发链。2.3 包过滤防火墙 2.3.1 数据包 数据包是指ip网络消息。ip标准定义了在网上两台计算机之间大宋的消息的结构,结构上,一个包包含了一个信息头和应被传送数据的一段消息体。linux中包含的ip防火墙机制3种ip消息类型:icmp(internet控制消息协议)、udp(用户数据报协议)和tcp(传输控制协议)。所有的ip包头包含了源、目的ip地址、ip协议消息类型。包头里根据协议类型还包括了不同的字段。icmp数据包包含了一个类型字段,用来标识控制或状态消息类型。udp和tcp包包含了源和目的服务端口号。2.3.2 包过滤防火墙的工作原理 采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有tcp端口号和tcp链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。因为路由器通常分布在有不同安全需求和安全策略的网络的交界处,因此可以通过在路由器上使用包过滤在可能的情况下实现只允许授权网络的数据进入。在这些路由器上使用包过滤一种比较经济的在现有路由基础结构上增加防火墙功能的机制。顾名思义,包过滤在路由过程中对指定包进行过滤(丢弃)。对过滤的判断通常基于单个包的头部所包含的内容(例如源地址,目的地址,协议,端口等)。包过滤防火墙通常在操作系统内部实现,并且操作在ip网络和传输协议层。它在对基于ip包头信息实施过滤后,通常对包的路由作决策来保护系统。包过滤防火墙由一组接受或禁止规则列表组成。这些规则明确定义了哪个包将被允许或不允许通过网络接口。防火墙规则使用在上面描述的包头字段来决定是否允许路由一个包通过,以达到它的目的,或无声息的将包丢弃掉,或阻止包并向它的发送机器返回一个错误状态。这些规则是基于特定的网络接口卡和主机ip地址、网络层源和目的ip地址、传输层tcp和udp服务端口、tcp链接标志、网络层icmp消息类型及这些包是进入的还是发出的。包过滤功能是所有的防火墙都具备的一个基本功能,实际上防火墙要完成的功能从根本上来说,就是要按照用户的要求来控制网络所流通的数据包,屏蔽那些无益的连接。3 开发工具 3.1 visual c+ 6.0 visual c+ 6.0,简称vc或者vc6.0,是微软推出的一款c+编译器,将“高级语言”翻译为“机器语言(低级语言)”的程序。visual c+是一个功能强大的可视化软件开发工具。自1993年microsoft公司推出visual c+1.0后,随着其新版本的不断问世,visual c+已成为专业程序员进行软件开发的首选工具。虽然微软公司推出了 visual c+.net(visual c+7.0),但它的应用有很大的局限性,只适用于windows 2000、windows xp和windows nt4.0。所以实际中,更多的是以visual c+6.0为平台。 3.2 visual sourcesafe 版本控制是工作组软件开发中的重要方面,它能防止意外的文件丢失、允许反追踪到早期版本、并能对版本进行分支、合并和管理。在软件开发和您需要比较两种版本的文件或找回早起版本的文件时,源代码的控制是非常有用的。visual sourcesafe可以同visual basic、visual c+、visual j+、visual interdev、visual foxpro开发环境以及microsoft office应用程序集成在一起,提供了方便易用、面向项目的版本控制功能。visual sourcesafe可以处理有各种开发语言、创作工具或应用程序所创建的任何文件类型。在提倡文件再使用的今天,用户可以同时在文件和项目级进行工作。visual sourcesafe 面向项目的特性能更有效地管理工作组应用程序开发工作中的日常任务。4 防火墙系统构成 4.1 需求分析 该防火墙的主要功能是实现包过滤,其他功能主要包括以下几个方面。1. 能设置过滤规则,包括:ip地址、子网掩码、端口号、协议。2. 能添加删除规则。3. 能将过滤规则保存。4. 能对过滤规则进行安装和卸载操作,即:将规则发送给ip过滤驱动或从ip过滤驱动中删除规则。4.2 设计思路 根据程序的需求来完成功能和模块化设计的思想,总体设计思路如下:任何程序都必须具有和用户进行信息交互的功能,因此用户接口部必须考虑,根据功能要求,该部分应具备:用户操作的功能菜单、能对过滤规则进行设置、显示规则界面、添加规则界面。这样程序的功能米块应该有:过滤规则添加删除功能模块,过滤规则显示功能模块,过滤规则存储功能模块,文件储存功能模块,安装卸载规则功能模块。4.3 功能模块构成功能模块构成如图1。 4.4 功能模块介绍 4.4.1 过滤规则添加删除功能模块 包过滤防火墙要进行数据包过滤就需要按照用户定义的规则进行包过滤,该功能模块就是使用户能够添加或删除过滤规则。过滤规则主要包括:源ip地址、子网掩码、端口号,目的ip地址、子网掩码、端口号、协议,以及对符合该规则的数据包是放行还是阻止进行设置,然后将设置好的规则添加到存储功能模块。 4.4.2 过滤规则显示功能模块该功能用于显示用户添加的规则,能够对每一条规则进行删除、安装、卸载的操作,使防火墙过滤规则能够很详细的显示给用户。4.4.3 过滤规则存储功能模块 该功能用于存储用户添加的过滤规则,接受用户对每一条规则的操作,并按照用户的操作将规则进行处理。如:安装规则,则把用户选择的规则安装到ip过滤驱动,ip接受到此规则后按照此规则进行数据包过滤。4.4.4 文件存储功能模块 使用户添加的过滤规则能够保存成文件的形式方便储存,在用户添加规则后可以选择某一条规则进行保存,防火墙会将该规则保存为后缀名为.rul的文件,在下次打开防火墙的时候可以直接加载该规则。4.4.5 文件载入功能模块 相对于文件储存功能模块,该功能是实现用户可以导入一个后缀名为.rul的并且保存了有效规则的文件。4.4.6 安装卸载功能模块 防火墙要过滤数据包,就需要将ip过滤驱动按照定义的规则进行过滤。用户通过添加规则将规则存储于防火墙的存储功能模块中,想要将规则发给ip过滤驱动,就需要对该规则进行安装。安装和卸载的功能就是将过滤规则传给ip过滤驱动或是将已安装的规则从过滤驱动中删除。4.4.7 ip封包过滤驱动功能模块 该功能模块是整个包过滤防火墙的核心部分,ip封包过滤驱动能按照用户定义的规则对数据包做出阻止或是放行的选择。5 防火墙设计 5.1 程序关键类 5.1.1 应用程序类cfirewallapp.每个mfc应用程序都必须包括一个从cwinapp派生的应用程序类,在本程序中的应用程序累就是cfirewallapp。应用程序类构成了应用程序的主执行线程,它封装了一个windows应用程序的初始化、运行和终止。5.1.2 主框架类cmainframe主框架类cmainframe构成整个程序的框架,包括菜单、工具、按钮等。它构成了程序功能的主框架。下面列出了cmainframe类中的主要方法和变量。class cmainframe:public cframewnd protected; bool installed;/规则安装标志 true-已安装,false-未安装 protected; bool started;/开始过滤的标志,true-已开始,false-未开始 tdriver filterdriver;/定义一个tdriver类的变量, tdriver ipfltdrv;/ protected; bool addfiltertofw();/ addfiltertofw完成将过滤钩子安装到防火 墙的功能。 /afx_msg(cmainframe) afx_msg void onappexit();/退出程序 afx_msg void onbuttonadd();/添加规则按钮 afx_msg void onbuttondel();/删除规则按钮 afx_msg void onbuttonstart();/开始过滤按钮 afx_msg void onbuttonstop();/停止过滤按钮 afx_msg void onbuttoninstall();/安装规则 afx_msg void onbuttonuninstall();/卸载规则 afx_msg void onmenuaddrule();/添加规则菜单 afx_msg void onmenudelrule();/删除规则菜单 afx_msg void onmenuinstallrules();/安装菜单 afx_msg void onmenuuninstallrules();/卸载规则菜单 afx_msg void onmenustart();/开始过滤菜单 afx_msg void onmenustop();/停止过滤菜单 afx_msg void onmenusaverules();/保存规则菜单 afx_msg void onmenuloadrules();/加载规则菜单 afx_msg;在主框架类cmainframe中定义了应用程序的所有基本功能。5.1.3 文档类cfirewalldocmfc程序中的文档类是用来存储数据变量的。在本程序中cfirewalldoc主要存储用户添加的规则,当用户添加规则或删除规则时,就要向文档类cfirewalldoc中写入数据;当视图类cfirewallview需要将用户添加的规则显示在规则列表时,或者将规则安装到驱动,就需要从文档类cfirewalldoc中读取数据。classcfirewalldoc:public cdocumentpublic; unsigned int nrules;/规则序数 ruleinfo rulesmax_rules;/最大规则数 int addrules();/添加规则 void deleterules(unsigned int position);/删除规则 void resetrules();/重置规则,即在加载规则前,需要删除规则列表中及存cfirewalldoc中的所有规则;其中ruleinfo rulesmax_rules是_ruleinfo结构体的一个变量,该数组用来存储规则,_ruleinfo类详细情况见5.1.5节介绍。5.1.4 视图类cfirewallview视图类一般是用来显示信息的,在本程序中,cfirewallview主要用来在规则列表中显示存储在文档类cfirewalldoc中的规则。class cfirewallview:public cformviewpublic; cfirewalldoc*getdocument();/指针指向文档类,和文档类cfirewalldoc关联。 /afx_virtual(cfirewallview) public; protected; virtual void oninitialupdate();/在这个函数中初始化规则列表 /afx_virtualpublic; void updatelist();/更新版本规则,和doc文档类保持一致protected; void addrulestolist();/将文档类cfirewallview中的规则显示出来;5.1.5 _ruleinfo类_ruleinfo类是用来定义过滤规则的数据结构。typedef struct _ruleinfo unsigned long sourceip; unsigned long sourcemask; unsigned short sourceport; unsigned long destinationip; unsigned long destinationport; unsigned int protocol; int action;ruleinfo.*pruleinfo;5.2 详细设计5.2.1 主界面 图2.程序主界面5.2.2 添加过滤规则添加过滤规则的功能是通过一个添加规则对话框完成,添加规则功能是将对话框中的规则添加到存储数据的文档中。分两个步骤:1、 取得添加规则对话框中的数据:int result;updatedata(true);/使空间列表与空间关联result=inct_addr(m_ipsource,&stclp);/从源ip地址编辑框获取源ip地址并赋给srclp。result=inct_addr(m_srcmask,&srcmask);/从源ip掩码编辑框获取源ip地址掩码赋给stcmask。result=inct_addr(m_ipdestination,&dstmask);/从目的ip掩码编辑框获取目的ip掩码赋给dstmask。if(m_protocol=tcp) protocol=6;else if(m_protocol=udp) protocol=17;else if(m_protocol=icmp) protocol=1;else if(m_protocol=所有) protocol=0;if(m_action=放行) caction=0;else caction=1;srcport=m_portsource;/源端口dstport=m_portdestination;/目的端口2、 将取得的数据添加到文档类中: bool cfirewalldoc:addrule(unsigned long srcip, unsigned long srcmask,unsigned short srcport,unsigned long dstip,unsigned long dstmask,unsigned short dstport,unsigned int protocol,int action) rulesnrules.sourceip=srcip;rulesnrules.sourcemask=srcmask;rulesnrules.sourceport=srcport;rulesnrules.destinationip=dstip;rulesnrules.destinationmask=dstmask;rulesnrules.destinationport=dstport;rulesnrtocol=protocol;rulesnrules.action=action;nrules+;return true; 5.2.3 删除过滤规则删除规则时,首先需要确定所要删除的规则,再将其从文档类中删除,同时更新视图类的显示。当正在进行过滤时,则要先停止过滤,才能删除规则。5.3 驱动程序设计5.3.1 简介基于firewall-hook driver的包过滤驱动程序位于核心态,运行效率高,主要用于在ip过滤驱动中拦截所有的网络数据包,根据过滤规则判别是否接收或发送数据包。同时处理上层应用程序发送irp,接收应用程序发送的过滤规则等。安装过滤函数之前,先将过滤函数的地址填入ip_set_firewall_hook_info的结构的firewallptr指针中,add设置为true,并指定该过滤函数优先级priority,然后向ip设备发送ip_set_firewall_hook控制码,这样就完成了过滤函数的安装。卸载过滤函数的时候只用把add设置为false就行了,其他参数和安装时一样。每个过滤函数可以设置一个优先级,系统调用这些函数的时候按照优先级的顺序进行,直到某个函数返回”丢弃包”为止。如果所有的过滤函数都返回”允许包”,那么这个包才能顺利通过系统。可以把这些过滤函数想象成一个过滤链,所有的函数按照优先级排列,如果一个函数返回”丢弃包”,这条过滤链就断开了。5.3.2 结构图驱动程序结构如图:5.3.3该驱动的优点在windows中这不是开发防火墙的唯一方法,其他诸如ndis防火墙,tdi防火墙,winsock分层防火墙,包过滤api等等,而filter-hook driver的优点在于:1、 这种方法所拥有的弹性可以使你过滤所有ip层(或以上)的通讯。但不能过滤更低层的头部数据,例如:不能过滤以太帧数据。需要用ndis过滤器来做。2、 这是一种简单的方法。安装防火墙和执行过滤功能非常简单
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年借出资金安全合同3篇
- 2024年度专用:施工合同签订详细步骤与工程款支付及结算管理规范3篇
- 2024年兽药疫苗区域性集中采购及质量监管服务合同6篇
- 2024年商品砼购销合同附智能化生产线升级改造服务3篇
- 2024年度个人短期资金周转贷款保证合同3篇
- 2024年榨菜交易标准合同3篇
- 2024年度猪肉冷藏物流配送协议3篇
- 2024年度个人贷款合同样本18篇
- 2024版企业内训中心电脑购置与安装服务协议3篇
- 2024年物业公司关于物业项目安全管理的合同标的、属性及服务内容协议
- 期末综合卷(含答案) 2024-2025学年苏教版数学六年级上册
- 2025春夏运动户外行业趋势白皮书
- 中医筋伤的治疗
- 【MOOC】英文技术写作-东南大学 中国大学慕课MOOC答案
- 护理产科健康教育
- 《〈论语〉十二章》说课稿 2024-2025学年统编版高中语文选择性必修上册
- 2024年PE工程师培训教材:深入浅出讲解
- 2024年21起典型火灾案例及消防安全知识专题培训(消防月)
- 人教版四年级上册数学【选择题】专项练习100题附答案
- 从创意到创业智慧树知到期末考试答案章节答案2024年湖南师范大学
- DL-T 1476-2023 电力安全工器具预防性试验规程
评论
0/150
提交评论