WATERBOX防水墙系统中硬件接口及设备管理设计实现分析_第1页
WATERBOX防水墙系统中硬件接口及设备管理设计实现分析_第2页
WATERBOX防水墙系统中硬件接口及设备管理设计实现分析_第3页
WATERBOX防水墙系统中硬件接口及设备管理设计实现分析_第4页
WATERBOX防水墙系统中硬件接口及设备管理设计实现分析_第5页
已阅读5页,还剩69页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 - .- -可修编- -. z.随着网络时代的到来,互联网的触角已经深入到中国的每一个角落。在网络化的同时,有关网络信息安全的问题也日益突出。绝大多数的企业、学校、政府机构把网的安全重点放在防来自外部的攻击,依赖于防火墙、防病毒软件。然而对一系列计算机犯罪统计数字分析的结果,促使人们更多地关注来自部人员的安全威胁。其中计算机系统的外部设备泄密是信息泄露事件发生的一大重要根源。如今越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里,外设的泄密隐患相当大,部员工可以通过光驱、软驱、USB等外设非法拷贝敏感信息和涉密信息,这些行

2、为造成严重的后果和不可弥补的损失。本文旨在对主机设备管理技术进行研究,建立一个主机设备管理系统。该系统具有身份认证、在线主机扫描、主机设备监控等功能。本文首先分析了现阶段主机设备管理的研究背景及现状,然后从需求分析入手,分析了系统的层次结构,接下来结合现有的技术,设计了一个主机设备管理系统,最后对该系统进行了实现和测试。课题的最终成果为:设计了一个主机设备管理模块,并依据该模块实现了一个主机设备管理系统。实践证明,该系统具备良好的实际应用价值。关键词:防水墙,主机设备管理,网络安全,信息安全 - .-. z.AbstractNetwork has been popular in China w

3、hen the network age is ing, but the problem of information security bees more and more serious. Most of enterprises, schools and governments focus on e*ternal attack depending on fireware and anti-virus. While a series of statistic result of puter crime indicates that people should attend the securi

4、ty threat of interior personnel. The one of the reasons of blowing the gaff is the puter device, because more and more sensitive information、private data and archives are saved in the puter, a mass of files and datum are changed into magnetic medium and optical medium so that the possibility of blow

5、ing the gaff is big owing to interior personnel copying information through CD-ROM, floppy drive and USB.In this thesis, the conceptual architecture of such a system was described, and our e*perience with its initial implementation was addressed as well. This system consists of identity authenticati

6、on, on-line puter scan and device management.The achievements of this thesis include the design and implementation of a device management system. The requirement analysis was finished. Also the modules of the system and some key technologies were described. The system was implemented and tested as w

7、ell.In conclusion, the device management system has good performance and we can ensure that the information is not blabed through the device.Key words:WaterBo*, host device management, network security,information security - .-. z.目 录 TOC o 1-4 h z u HYPERLINK l _Toc137610927第一章引言 PAGEREF _Toc137610

8、927 h 1HYPERLINK l _Toc1376109281.1背景以及国外现状 PAGEREF _Toc137610928 h 1HYPERLINK l _Toc1376109291.2主要容 PAGEREF _Toc137610929 h 1HYPERLINK l _Toc1376109301.3论文章节安排 PAGEREF _Toc137610930 h 1HYPERLINK l _Toc137610931第二章需求分析 PAGEREF _Toc137610931 h 3HYPERLINK l _Toc1376109322.1系统需求 PAGEREF _Toc137610932 h

9、 3HYPERLINK l _Toc1376109332.2功能需求 PAGEREF _Toc137610933 h3HYPERLINK l _Toc1376109342.3性能需求 PAGEREF _Toc137610934 h 4HYPERLINK l _Toc1376109352.4硬件环境 PAGEREF _Toc137610935 h 5HYPERLINK l _Toc1376109362.5 软件环境及开发环境 PAGEREF _Toc137610936 h 5HYPERLINK l _Toc1376109372.6 小结 PAGEREF _Toc137610937 h 6HYPE

10、RLINK l _Toc137610938第三章总体设计 PAGEREF _Toc137610938 h 7HYPERLINK l _Toc1376109393.1 系统总体结构简介 PAGEREF _Toc137610939 h 7HYPERLINK l _Toc1376109403.2 子系统总体设计 PAGEREF _Toc137610940 h 8HYPERLINK l _Toc1376109413.2.1 验证模块模块 PAGEREF _Toc137610941 h 9HYPERLINK l _Toc1376109423.2.2 系统主控平台 PAGEREF _Toc13761094

11、2 h 9HYPERLINK l _Toc1376109433.2.3 扫描在线主机模块 PAGEREF _Toc137610943 h 9HYPERLINK l _Toc1376109443.2.4 主机设备管理模块 PAGEREF _Toc137610944 h 10HYPERLINK l _Toc1376109453.3 系统基本处理流程 PAGEREF _Toc137610945 h 10HYPERLINK l _Toc1376109463.3.1 主机设备管理系统的数据流设计6 PAGEREF _Toc137610946 h 10HYPERLINK l _Toc1376109473.

12、3.2 验证模块的流程图 PAGEREF _Toc137610947 h 11HYPERLINK l _Toc1376109483.3.3 系统主控平台的流程图 PAGEREF _Toc137610948 h 12HYPERLINK l _Toc1376109493.3.4 在线主机扫描模块的流程图 PAGEREF _Toc137610949 h 13HYPERLINK l _Toc1376109503.3.5 主机设备管理模块的流程图 PAGEREF _Toc137610950 h 15HYPERLINK l _Toc1376109513.4 小结 PAGEREF _Toc137610951

13、 h 18HYPERLINK l _Toc137610952第四章详细设计 PAGEREF _Toc137610952 h 19HYPERLINK l _Toc1376109534.1 权限验证模块 PAGEREF _Toc137610953 h 19HYPERLINK l _Toc1376109544.1.1 权限验证IPO图 PAGEREF _Toc137610954 h 19HYPERLINK l _Toc1376109554.1.2 权限验证模块的界面设计 PAGEREF _Toc137610955 h 19HYPERLINK l _Toc1376109564.1.3 权限验证模块的实

14、现 PAGEREF _Toc137610956 h 20HYPERLINK l _Toc1376109574.2 系统主控平台 PAGEREF _Toc137610957 h 21HYPERLINK l _Toc1376109584.2.1 主控平台界面设计 PAGEREF _Toc137610958 h 21HYPERLINK l _Toc1376109594.2.2 主控平台的实现 PAGEREF _Toc137610959 h 21HYPERLINK l _Toc1376109604.3 基于UDP的网段扫描模块7 PAGEREF _Toc137610960 h 22HYPERLINK

15、l _Toc1376109614.3.1 设计思路 PAGEREF _Toc137610961 h 22HYPERLINK l _Toc1376109624.3.2 编程原理 PAGEREF _Toc137610962 h 22HYPERLINK l _Toc137610963 UDP与TCP简介 PAGEREF _Toc137610963 h 22HYPERLINK l _Toc137610964 Csocket类中的UDP相关函数 PAGEREF _Toc137610964 h 23HYPERLINK l _Toc137610965 事件函数和线程创建函数 PAGEREF _Toc1376

16、10965 h 25HYPERLINK l _Toc1376109664.3.3 实例祥解 PAGEREF _Toc137610966 h 26HYPERLINK l _Toc137610967 初始化例程 PAGEREF _Toc137610967 h 26HYPERLINK l _Toc137610968 启动扫描 PAGEREF _Toc137610968 h 27HYPERLINK l _Toc137610969 扫描线程 PAGEREF _Toc137610969 h 27HYPERLINK l _Toc137610970 获得扫描结果 PAGEREF _Toc137610970 h

17、 28HYPERLINK l _Toc137610971 保存扫描结果 PAGEREF _Toc137610971 h 28HYPERLINK l _Toc137610972 双击动作 PAGEREF _Toc137610972 h 29HYPERLINK l _Toc137610973 退出扫描 PAGEREF _Toc137610973 h 30HYPERLINK l _Toc1376109744.4 主机设备的管理 PAGEREF _Toc137610974 h 30HYPERLINK l _Toc1376109754.4.1 概述 PAGEREF _Toc137610975 h 30H

18、YPERLINK l _Toc137610976 对于控制光驱接口,我们可以通过若干方法来实现2 PAGEREF _Toc137610976 h 30HYPERLINK l _Toc137610977 对于控制USB接口,我们可以通过若干方法来实现3 PAGEREF _Toc137610977 h 33HYPERLINK l _Toc137610978 其他设备的管理 PAGEREF _Toc137610978 h35HYPERLINK l _Toc1376109794.4.2 Client/Server模式 PAGEREF _Toc137610979 h 35HYPERLINK l _Toc

19、137610980 概述 PAGEREF _Toc137610980 h 35HYPERLINK l _Toc137610981 套接字调用的流程 PAGEREF _Toc137610981 h 36HYPERLINK l _Toc137610982 Winsock编程原理 PAGEREF _Toc137610982 h 40HYPERLINK l _Toc137610983 系统中C/S模式的实现 PAGEREF _Toc137610983 h 45HYPERLINK l _Toc1376109844.4.3 控制主机设备的关键技术 PAGEREF _Toc137610984 h 50HYP

20、ERLINK l _Toc137610985 简述DDK4 PAGEREF _Toc137610985 h 50HYPERLINK l _Toc137610986 主机设备控制的实现 PAGEREF _Toc137610986 h 50HYPERLINK l _Toc1376109874.5 小结 PAGEREF _Toc137610987 h 55HYPERLINK l _Toc137610988第五章测试 PAGEREF _Toc137610988 h 56HYPERLINK l _Toc1376109895.1 系统集成测试 PAGEREF _Toc137610989 h 56HYPER

21、LINK l _Toc1376109905.2 主机设备模块测试 PAGEREF _Toc137610990 h 57HYPERLINK l _Toc1376109915.2.1 测试环境 PAGEREF _Toc137610991 h 57HYPERLINK l _Toc1376109925.2.2 功能测试 PAGEREF _Toc137610992 h 58HYPERLINK l _Toc1376109935.2.3 性能测试 PAGEREF _Toc137610993 h 58HYPERLINK l _Toc1376109945.3 小结 PAGEREF _Toc137610994 h

22、 59HYPERLINK l _Toc137610995第六章结论及展望 PAGEREF _Toc137610995 h 60HYPERLINK l _Toc137610996参考文献 PAGEREF _Toc137610996 h 61HYPERLINK l _Toc137610997致 PAGEREF _Toc137610997 h 63HYPERLINK l _Toc137610998外文资料原文 PAGEREF _Toc137610998 h 65HYPERLINK l _Toc137610999翻译文稿 PAGEREF _Toc137610999 h 67 - .-. z.第一章 引

23、 言1.1背景以及国外现状本课题来源于省青年软件创新工程资助项目WaterBo*防水墙系统”的子系统WaterBo*防水墙系统的主机设备管理,项目编号为621。WaterBo*是由Water”和Bo*”组成的合成词,Water”得名于安全技术的一个名词,它的意思和防火墙刚好相反,传达出阻止外流的意思,Bo*”这个词则是象征性地表达了安全的意义,整个词意是为了防止部信息未经授权的泄露。我们知道,防火墙、IDS 和漏洞扫描仅仅解决了网安全理论的一个方面,但不能解决部用户攻击和威胁。基于网安全理论的防水墙Waterbo*,将会给出了政府、民营企业的网安全解决方案。在国外,spectore、Vontu

24、 Protect、employee-monitor的用途是提高员工工作效率,对员工的工作行为进行约束,这些产品的功能主要是通过网络途径来实现的。如:Email、Web、Web mail、Chat、Install Messaging、FTP、Telnet、POP、IMAP、P2P、SMB等方式。在国,也有一些公司做出了关于网安全的产品,比如中软的WaterBo*、卫士通的一key通等。总之,从目前国外研究现状来看,还没有一个完整有效的网安全解决方案,缺乏系统有效的网安全产品。1.2主要容作为WaterBo*防水墙系统的一个子系统主机设备管理”,其主要功能就是通过实现对光驱、软驱、USB、口、打印

25、机等外设的监控和管理,防止部用户通过计算机或者计算机网络的外部设备或终端设备将组织部的秘密信息有意识或无意识泄漏出去,堵住任何一个可能泄漏的途径,保证信息能够安全可靠地保存和管理,从而最大限度地降低信息泄密的风险。1.3论文章节安排第一章 阐述课题背景、国外发展现状、主要容以及论文的章节安排。第二章 简单论述了系统的需求分析以及系统开发所需的环境,包括系统需求、功能需求和性能需求以及硬件环境、软件环境和开发环境。第三章 在分析系统总体结构的基础上,讨论了主机设备管理子系统的总体设计。第四章 实现了主机设备管理系统。具体是各个模块的设计和实现,包括权限验证模块、系统主控平台、扫描在线主机模块以及

26、主机设备管理模块。第五章 介绍了WaterBo*系统的测试方法以及主机设备管理系统的测试环境、测试方法和具体的测试结果。第六章 对全文和本人的工作做了总结,提出了未来的研究方向。-. z.第二章 需求分析本章简要介绍了系统的需求分析以及系统开发所需的环境。首先是需求分析,包括系统需求、功能需求和性能需求,接下来介绍了系统开发所需的环境,包括硬件环境、软件环境以及开发环境。2.1系统需求WaterBo*防水墙系统主要分为数据分析与查询子系统、网监管子系统、进程监控子系统、认证与加密子系统、主机设备监管子系统。其中主机设备监管子系统开发时应考虑以下需求:能够保证系统的安全,防止非管理员非法使用该系

27、统;能够获得当前在线主机,并对其实现监管;满足对目标网用户主机的CD-ROM、USB、1394接口等设备的禁用;满足网用户在授权的情况下合法使用主机的CD-ROM、USB、网卡接口等设备。2.2功能需求基于对主机设备监管子系统的系统需求,该系统需要实现一下基本功能:身份认证:管理系统操作人员,设计管理员口令和权限。由于WaterBo*防水墙系统是一款保护用户敏感信息不被非法泄露的系统,只有系统管理员才有权限使用其来监控网的安全,所以只有输入合法的防水墙用户名和口令才可以登录该系统。由于该功能不是系统的主要功能,所以暂时只有简单的身份认证,还没有添加用户、修改密码等功能。扫描在线主机:Water

28、Bo*防水墙系统是一款对局域网中的合法机器或非法机器进行监控的系统,我们需要知道实时监控时局域网中的客户机是否在线,只有客户机在线才能对其进行管理。当前扫描方法有多种,包括基于TCP的扫描、基于UDP的扫描、基于ICMP的扫描等等,但是在扫描在线主机这个模块中,我们主要利用UDP协议的扫描技术来得到*一网段所有在线主机的IP、机器名、工作组、用户名以及MAC地址,因为此模块希望快速得到同网段机器的信息,而并不是需要特别可靠的连接确认机制,故采用UDP来实现。软驱的禁用/启动:计算机系统的外部设备泄密是信息泄露事件发生的一大重要根源。作为外设之一的软驱,部人员完全可以凭借软盘将信息拷走,造成一定

29、的损失,所以WaterBo*防水墙系统中要实现这个功能,即对软驱能够实现控制,在授权的情况下客户可以使用,否则禁止用户使用。CD-ROM的禁用/启动:计算机系统的外部设备泄密是信息泄露事件发生的一大重要根源。作为外设之一的CD-ROM,部人员完全可以凭借可察写光盘将信息拷走,造成一定的损失,所以WaterBo*防水墙系统中要实现这个功能,即对CD-ROM能够实现控制,在授权的情况下客户可以使用,否则禁止用户使用。USB设备的禁用/启动:部用户还可以通过计算机的USB移动存储器将敏感信息和重要资料拷贝出去。为防止这种情况的发生,WaterBo*需要对计算机的USB接口进行管理。部用户还可以对个人

30、用户数据加密,整个网的数据需有一定的访问控制策略,重要信息也要加密。网卡的禁用/启动:网络是信息泄漏事件发生的又一根源,部员工可以通过网络,包括、BBS等将信息泄漏出去。尽管WaterBo*防水墙系统有专门的模块实现对网络的监控、的还原和网页的还原,但是仍然需要对网卡进行监控,一旦发现用户通过网络进行非法操作,就实行禁用网卡,最大限度地降低信息泄密的风险。其他外设的禁用/启动:计算机系统的外部设备泄密是信息泄露事件发生的一大重要根源。通过主机的其他设备,比如口、打印机等等,部人员完全可以泄漏部的重要信息,造成一定的损失,所以WaterBo*防水墙系统中要实现这个功能,即对其他外设能够实现控制,

31、在授权的情况下客户可以使用,否则禁止用户使用。2.3性能需求主机设备管理系统的优点是能够扫描在线主机,并对主机设备进行监控,其主要性能指标如下:扫描在线主机性能规定能够扫描在线主机,在主机台数为4的情况下时间不高于1s;误报率不高于1%;软驱的禁用/启用时间不超过3s;光驱的禁用/启用时间不超过20s;USB的禁用/启用时间不超过20s;网卡的禁用/启用时间不超过20s;口的禁用/启用时间不超过20s;打印机的禁用/启用时间不超过20s。2.4硬件环境在最低配置的情况下,系统的性能往往不尽如人意,现在的硬件性能已经相当出色,而且价格也非常便宜,因此通常给系统配置高性能硬件,包括CPU、存、硬盘

32、等。如表2-1所示:表2-1系统的硬件环境机器型号应用名称数量硬件配置PC SERVER数据库服务器11个CPU,512M存,80G硬盘PC系统管理员机器11个CPU,512M存PC客户端机器若干1个CPU,256M存2.5 软件环境及开发环境WaterBo*防水墙系统由数据库服务器、系统管理员机器、客户端机器组成,操作系统为microsoft的Windows,包括Windows server 2000和Windows *P,数据库是Microsoft SQL Server 2000。如表2-2所示:表2-2系统的软件环境应用服务器操作系统其它软件及版本数据库服务器Windows server

33、 2000Microsoft SQL Server 2000系统管理员机器WindowsMicrosoft SQL Server 2000客户端机器WindowsMicrosoft SQL Server 2000为了统一开发平台、开发语言,整个项目组统一在Windows *P使用Visual C+ 6.0作为界面开发,底层用纯C开发,数据库为Microsoft SQL Server 2000。如表2-3所示。表2-3系统的开发环境开发平台Windows *P开发语言Visual C+ 6.0、C、WinDDK、MSDN数据库管理系统Microsoft SQL Server 20002.6 小结

34、本章首先介绍了一下系统的需求,然后简述了系统的功能需求、性能需求,最后概述了系统的硬件环境、软件环境以及开发环境。下一章将介绍主机设备管理系统的总体设计,包括系统总体结构简介、子系统总体设计和基本设计概念即处理流程。-. z.第三章 总体设计本章在分析系统总体结构的基础上,讨论了主机设备管理子系统的总体设计。然后根据第二章的功能需求,并结合实际的需求,设计了一个使用的主机设备管理系统,对该系统的各个模块作了阐述和说明,同时介绍了系统的处理流程。3.1 系统总体结构简介首先介绍一下整个WaterBo*系统。WaterBo*系统是网络监控模块、非法接入模块、主机设备管理模块、系统监控模块,其中网络

35、监控模块主要是对网通过网关或代理服务器流向Internet的数据包,系统进行全面的截取、解析和过滤,系统按照网络协议划分,将部分数据包保存记录在数据库中,以便管理人员察看同时系统需要还原和文件;非法接入模块对网中未经授权的主机进行隔离,阻止它与其他主机的通,网中的每台主机实时监测与本机通信的其他主机的信息,发出身份认证请求,然后将非法主机的信息报告给系统管理服务器做后续处理;主机设备管理模块对主机的CD-ROM、USB、口等设备进行管,网中的用户在管理员授权的情况下才能使用这些设备;系统监控模块包括管理模块、通信模块和进程监控模块。系统总体结构图如图3-1所示:网络监控模块非法接入模块设备管理

36、模块系统监控模块截获、解析模块数据库管理模块验证模块通信模块通信管理模块过滤模块还原、记录模块设备管理模块硬件接口模块进程监控模块通信模块通信模块管理模块公共出错信息处理模块图3-1系统总体结构图如上图所示,系统管理实现方式为应用程序,安装在管理员计算机上。完成系统初始化、数据包监控模块管理、合发计算机信息表管理、远程主机设备启用认证、日志记录功能。数据包监控模块管理调用数据库管理实现管理员对数据包、文件、记录的查看等功能。合法计算机信息表管理调用数据库管理实现对信息表的增、删、改、查等功能。同时作为整个系统的通信平台的服务端完成通信规中定义的通信容。3.2 子系统总体设计本人主要负责主机设备

37、管理模块,主要对主机的CD-ROM、USB、口等设备进行管,网中的用户在管理员授权的情况下才能使用这些设备。其中管理员交互界面在系统的显示层,设备管理以及C/S通信在系统的处理层,系统与机器的接口在系统层。根据第二章的功能需求,主机设备管理系统的总体结构比较简单,共分为验证模块、系统主控模块、扫描在线主机模块和主机设备管理模块等。根据主机设备管理的基本要求,我们设计了一个系统总体结构,如图3-2所示:主机设备管理界面系统接口公共出错信息处理模块显示层系统层处理层客户端设备管理与客户端通信USBCD-ROM软驱本地验证远程验证扫描在线主机界面系统主控平台界面验证模块界面图3-2主机设备管理总体结

38、构图如上图所示,系统基本的流程是:管理员登陆-系统主控平台界面-扫描在线主机-选择对主机设备的禁用或启用。下面将详细阐述主机设备管理总体结构。3.2.1 验证模块模块此模块主要用于限制非法人员操作系统。由于WaterBo*防水墙系统是一款保护用户敏感信息不被非法泄露的系统,只有系统管理员才有权限使用其来监控网的安全,所以只有输入合法的防水墙用户名和口令才可以登录该系统。3.2.2 系统主控平台此模块主要是界面的显示,主要功能包括:启动扫描在线主机;启动主机设备管理;充分考虑界面易于操作的系统需求,主控制平台使用简单和直观的布局设计,提供菜单和工具栏两种操作方式,其中下拉菜单和工具栏是一一对应关

39、系。而且该界面还具有向后兼容的特点,并为整个WaterBo*防水墙系统其他子系统提供了接口,包括非法外联子系统、通信子系统、网络监控子系统,为系统的集成打下了良好的基础。3.2.3 扫描在线主机模块此模块主要扫描在线主机,并对在线主机准备监控。当前扫描方法有多种,包括基于TCP的扫描、基于UDP的扫描、基于ICMP的扫描等等,但是由于此模块希望快速得到同网段机器的信息,而并不需要特别可靠的连接确认机制在扫描在线主机这个模块中,所以我们就选择了UDP协议的扫描技术来得到*一网段所有在线主机的IP、机器名、工作组、用户名以及MAC地址。而且该模块是基于对话框的,所以需要添加必要的控件。首先要有IP

40、地址控件,用来输入搜索的IP围;还应有List Bo*控件,用来显示已经查询的IP情况;中间的是List Control控件,用来显示对应每个IP的机器信息,从左到右分别显示IP地址、工作组、机器名、用户名和Mac地址。在这个模块中,主要由初始化例程、启动扫描、扫描线程、扫描结果、双击动作、退出扫描等部分组成。在初始化例程中,主要将一些信息初始化,然后在启动扫描过程中创建扫描线程,并把扫描结果显示在列表框中,最后退出扫描,同时双击动作可以引出主机设备管理界面。3.2.4 主机设备管理模块此模块主要实现对主机设备的监控,控制其是启用还是禁用。当前几乎所有企业对于网络安全的重视程度一下子提高了,纷

41、纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet部的攻击和入侵却依然猖狂。事实证明,公司部的不安全因素远比外部的危害更恐怖,尤其是通过主机外设泄漏。大多企业重视提高企业网的边界安全,但是大多数企业网络的核心网还是非常脆弱的。企业也对部网络实施了相应保护措施,如安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现网与Internet的安全隔离,然而,情况并非如此!企业中经常会有人私自通过光驱、软驱、USB等偷窃信息及资料,而这些机器通常又置于企业网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从*种意义来讲,企业耗费巨资配备的防火墙已失去意义。

42、实践证明,很多成功防企业网边界安全的技术对保护企业网却没有效用。于是网络维护者开始大规模致力于增强网的防卫能力。当前有多种方法可以禁用主机设备,包括在注册表里修改选项、在BIOS中修改等等,但是都有一定的缺陷。我选择了通过调用DDK函数控制设备使用,采用服务器/客户端模式来共同来完成一个应用任务,即主机设备管理。这种方法在*种程度上能够有效的控制部员工对主机设备的访问,并且能够审计追踪,一旦出现事故将追究相关人士的责任,包括刑事责任。3.3 系统基本处理流程在本节,首先简单介绍一下主机设备管理系统的数据流设计,然后再分模块详细阐述各模块的基本处理流程。3.3.1 主机设备管理系统的数据流设计6

43、数据流是软件工程中的概念,它表示处于运动中的数据。数据流和数据流图是无法分割的,软件工程中利用数据流土描述系统的逻辑模型,任何软件都可以用数据流图表示。画数据流图的基本目的是利用它作为交流信息的工具,它通过简单的图形符号描述数据的运动情况,图中*一任何具体的物理元素,只是描绘信息在系统中流动和处理的情况。特别要注意程序框图和数据流图的区别:程序框图是从对数据进行加工的角度描述系统的,其箭头是控制流,表示的是对数据进行加工的次序,它用于描述怎样解决问题;而数据流图则是从数据的角度来描述系统的,其箭头是数据流,表示的是数据的流动方向,它用于描述是什么问题。主机设备管理系统的数据流如图3-3所示:服

44、务器上层应用程序客户端上层应用程序服务器网络层客户端网络层监控外设Udp数据控制信息规则库响应信息图3-3 主机设备管理系统数据流程示意图从图3-3中我们可以得知,数据的主要流动为以下几个方面。服务器向指定围的IP发数据,首先它向一个IP发数据,然后等待响应。收到响应后,继续对下一个IP发数据,如此循环。客户端收到服务器的数据后,将响应信息发回服务器。服务器从响应信息中取出对应的机器工作组、机器名、用户名、MAC地址并显示出来。服务器根据扫描结果,将控制主机设备的控制信息发给在线主机。客户端收到信息后,匹配规则库,做出相应的动作。3.3.2 验证模块的流程图验证模块主要用于限制非法人员操作系统

45、。由于WaterBo*防水墙系统是一款保护用户敏感信息不被非法泄露的系统,只有系统管理员才有权限使用其来监控网的安全,所以只有输入合法的防水墙用户名和口令才可以登录该系统。该模块的流程图如图3-4所示:图3-4 验证模块过程示意图如上图所示,当进入主机设备管理系统时,需要对用户的身份进行验证。若用户名和密码一致,则进入系统主控平台,否则返回验证模块。3.3.3 系统主控平台的流程图系统主控平台主要用于系统界面的显示,以及用来启动扫描在线主机和启动主机设备管理。另外,该平台还是WaterBo*防水墙系统中其它子系统包括网络监控子系统、非法接入子系统、系统监控子系统等的系统接口,保持了很好的扩展及

46、兼容。所以充分考虑界面易于操作的系统需求,主控制平台使用简单和直观的布局设计,提供菜单和工具栏两种操作方式。该模块的流程图如图3-5所示:图3-5 系统主控平台过程示意图如上图所示,若系统通过了验证模块的验证,则进入系统的主控界面。在主控界面上有一些选项,若点击扫描在线主机”则进入扫描在线主机模块;若点击主机设备管理”则进入主机设备管理模块。3.3.4 在线主机扫描模块的流程图此模块主要扫描在线主机,返回在线主机的一些信息,包括IP地址、机器工作组、机器名、用户名、MAC地址等。在此模块中,我们需要先设定系统的扫描围,再把扫描结果存放在列表框中。由于此模块希望快速得到同网段机器的信息,而并不是

47、需要特别可靠的连接确认机制,所以采用UDP来实现。该模块的流程图如图3-6所示:图3-6 扫描在线主机处理过程示意图如上图所示,在系统主控界面上点击扫描在线主机”,则进入扫描在线主机界面。设置要扫描主机的IP围,若IP围不合法,则调用OnBtnE*it()退出扫描线程;否则SendTo()函数循环对要查询的IP发数据。当客户端接收到数据后,返回响应信息。此时服务器则调用ReceiveFrom()接收响应信息,将数据报保存在Buf,IP存储在strIP中,并根据数据报规则取出相应的信息存放在列表框中。若要进入下一模块-主机设备管理模块,则需调用OnDblclkListView()即双击列表框中的

48、*行。由于局域网的广播特性,即在同一网段(IP地址的前三级地址一样),若IP地址为1的计算机发送数据给2,该数据也同时被发送给了网段的其他计算机(192.168.0.*),只是它们接收到这些数据时发现不是发给自己的,而将其丢弃。因此,可以编程让计算机不丢弃这些数据,而是接收它们,并将其解包,从而可以编制出功能更为强大的同时也是非常可怕的网段扫描器,它可以监视网段其他计算机通过网络传输的所有信息。这正是该系统以后的努力目标之一。3.3.5 主机设备管理模块的流程图此模块主要实现对主机设备的监控,控制其是启用还是禁用。作为整个系统最为主要的一个部分,该模块的主要容就是通过实现对光驱、软驱、USB、

49、口、打印机等外设的监控,防止部用户通过计算机或者计算机网络的外部设备或终端设备将组织部的秘密信息有意识或无意识泄漏出去,堵住任何一个可能泄漏的途径,保证信息能够安全可靠地保存和管理,从而最大限度地降低信息泄密的风险。由于现在越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里,外设的泄密隐患相当大,一旦造成国家信息泄漏,将势必造成严重的后果和不可弥补的损失,所以我们应当努力做好这个模块,在保护网不受外来攻击破坏的同时,尽可能的保障网的安全,防止部用户的泄密。该模块的流程图如图3-7、3-8所示:图3-7 主机设备管理中的C/S

50、通信过程示意图图3-8 主机设备管理中的客户机处理过程示意图如图3-7所示,主机设备管理模块可以有两条进入路径,一是直接有主控平台进入,二是在扫描在线主机后进入。服务器端和客户端分别定义消息和它的消息映射,再分别调用WSAStartup()函数初始化Windows Socket DLL,并检查版本号。客户端调用socket()建立套接字连接,然后调用WSAAsynSelect()函数,提名FD_CONNECT事件。再接着,获得IP地址,调用connect()函数于服务器的*端口建立连接。最后收到消息UM_SOCK后,便按照定义的消息映射,调用OnRecv()进行处理。OnRecv()首先判断该

51、消息是由什么网络事件引起的,再做出不同的处理:如果是是由FD_CONNECT引起的,表明与服务器的连接已经成功。于是将阀值编辑框中的值发送给服务器。然后调用WSAAsynSelect()函数,提名FD_READ和FD_CLOSE事件。当套接字可发送数据时以及当连接被关闭时,对话框会收到Winsock DLL发送的UM_SOCK消息。服务器端收到该阀值后,到规则库中匹配规则,并进行相应的处理,具体处理流程见图3-8。如图3-8所示,这个流程图主要是当服务器收到客户端发来的阀值后进行相应的操作。首先我们从注册表中得到主机设备包括CD-ROM、软驱、USB、口、网卡、打印机等的guid,然后调用AP

52、I SetupDiGetClassDevs访问系统的硬件库,再调用SetupDiGetClassDevs()函数遍历所有的硬件,最后我们调用函数ChangeStatus(DWORD NewStatus, DWORD SelectedItem, HDEVINFO hDevInfo) 来执行改变控制来确定是启用”还是禁用”,其中NewStatus有两种情况,一种是DICS_ENABLE,表示启用设备;一种是DICS_DISABLE,表示禁用设备,i代表所选的设备,hDevInfo是由SetupDiGetClassDevs()函数返回的句柄。在这个函数中,我们先通过SetupDiEnumDevice

53、Info(hDevInfo, SelectedItem, &DeviceInfoData)函数枚举指定设备信息集合的成员,并将数据放在DeviceInfoData中,然后设置PropChangeParams结构,再通过函数SetupDiSetClassInstallParams()为设备信息集设置或清空类安装参数,最后通过SetupDiCallClassInstaller()函数调用ClassInstaller执行改变控制来确定是启用”还是禁用”。3.4 小结本章主要介绍了WaterBo*系统及其主机设备管理子系统的总体设计。首先概述了系统的总体结构,然后介绍了子系统的总体设计,最后阐述了系统

54、的基本设计概念及处理流程。下一章将介绍主机设备管理系统的详细设计,包括验证模块、系统平台、扫描在线主机模块和主机设备管理模块的设计与实现。-. z.第四章 详细设计基于系统需求分析与系统总体设计的结论,本系统采用Visual C+6.0实现各模块的功能,下面按照模块的划分来阐述系统的详细设计和实现。4.1 权限验证模块根据需求分析和总体设计,此模块主要是根据用户输入的用户名和密码,验证用户身份并决定其操作权限。4.1.1 权限验证IPO图输入:用户名和密码处理:管理员登陆对话框启动;管理员输入用户名并输入密码;从系统中检查是否有相应的用户名和密码;如果用户名或密码错误,进行提示;如果输入的用户

55、名和相应的密码正确,则进入主控制平台;输出:主控制平台4.1.2 权限验证模块的界面设计该模块通过登陆对话框为用户提供操作界面,界面的设计效果如图4-1所示。图4-1权限验证模块的界面设计图4.1.3 权限验证模块的实现根据权限验证的IPO图,通过定义CLoginDlg类来实现权限验证模块的功能。下面介绍CLoginDlg类的设计和实现。处理过程:从系统中查找与所输入的用户名匹配的密码,如果有则登陆主控制平台,否则提示登陆错误信息。其代码如下:void CLoginDlg:OnOK() / TODO: Add e*tra validation hereUpdateData(TRUE);/读取输

56、入信息if(m_strUser=admin)&(m_strPassword=admin)CDialog:OnCancel();Af*MessageBo*(密码输入正确,欢迎您!,MB_ICONINFORMATION);ElseAf*MessageBo*(密码输入错误,请重新输入!,MB_ICONINFORMATION);m_strUser=;m_strPassword=;UpdateData(FALSE);4.2 系统主控平台4.2.1 主控平台界面设计充分考虑界面易于操作的系统需求,主控制平台使用简单和直观的布局设计,提供菜单和工具栏两种操作方式。主控平台的界面设计如图4-2所示。图4-2

57、主控平台图4.2.2 主控平台的实现主体框架:使用MFC AppWizard创建一个单文档结构的应用程序工程,建立起系统主体框架,生成应用程序类(CWaterBo*App)文档类(CWaterBo*Doc)、视图类(CWaterBo*View)和主框架类(CMainFrame)。菜单和工具栏:根据系统总体设计中功能模块的划分,使用资源编辑器创建系统菜单和工具栏。背景图:通过修改系统视图类Draw事件处理函数OnDraw()来实现加载背景图。其具体代码如下:int b=bmp.LoadBitmap(IDB_BITMAP_BG);/将位图取出dcmem.CreatepatibleDC(pDC);/

58、创建兼容设备上下文dcmem.SelectObject(&bmp);dcmem.SetMapMode(pDC-GetMapMode();GetObject(bmp.m_hObject,sizeof(BITMAP),(LPSTR)&bm);/加载视图到设备上下文中pDC-StretchBlt(RectBmp.left,RectBmp.top,RectBmp.right,RectBmp.bottom,&dcmem,0,0,bm.bmWidth,bm.bmHeight,SRCCOPY);dcmem.DeleteDC();/除设备上下文4.3 基于UDP的网段扫描模块74.3.1 设计思路程序运行界面

59、如图4-3所示:图4-3 程序运行界面图4.3.2 编程原理 UDP与TCP简介 TCP和UDP是TCP/IP协议中的两个传输层协议,它们使用IP路由功能把数据包发送到目的地,从而为应用程序及应用层协议(包括HTTP、SMTP、SNMP、FTP和Telnet)提供网络服务。TCP提供的是面向连接的、可靠的数据流传输,而UDP提供的是非面向连接的、不可靠的数据流传输。面向连接的协议在任何数据传输前就建立好了点对点的连接。ATM和帧中继是面向连接的协议,但它们工作在数据链路层,而不是在传输层。普通的音频也是面向连接的。可靠的传输协议可避免数据传输错误。其实现方式是:在构造数据包时在其中设置校验码,

60、到达目的地后采用一定的算法重新计算校验码,通过比较,就可以找到被破坏的数据。因为需要重发被破坏的和已经丢失的数据,所以在需要重发数据时,协议必须能够使目的地给出源头的一个确认信号。有些数据包不一定按照顺序到达,所以协议必须能够探测出乱序的包,暂存起来,然后把它们按正确的顺序送到应用层去。另外,协议还必须能够找出并丢弃重复发送的数据。一组定时器可以用户限制针对不同确认的等待时间,这样就可以开始重新发送或重新连接。TCP不能在一个包以字节或位为单位构造数据,它只负责传输未经构造的8位字符串。非面向连接的传输协议在数据传输之前不建立连接,而是在每个中间节点对非面向连接的包和数据包进行路由。非面向连接

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论