校园网防火墙的规划与安全性分析

邢台学院2017届本科毕业论文PAGEPAGEI摘要随着计算机网络技术的突飞猛进，网络安全的问题已经日益突出地摆在各类用户的面前。在互联网上，每台计算机、服务器都存在或多或少的安全问题，安全问题不被重视，必然会导致严重后果，诸如系统被破坏、数据丢失、文件被盗和直接、间接的经济损失等。防火墙是设置在内部系统和外部系统之间的具有保护作用的关卡，它会对接受到的所有数据进行核查，才决定是否丢弃或接收该数据包，防止恶意数据包对主机或内部网络的入侵，从而保护主机或内部网络的安全。文章首先阐述了防火墙技术的工作原理、体系结构、功能等基本理论知识；接着通过分析高校校园网网络安全面临的威胁，提出校园网防火墙系统的设计原则、系统需求和改进方案；最后在相关理论的基础上，对校园网防火墙系统进行了设计，对数据检测、数据传输方面的网络安全得到了一定程度的改善。关键词：校园网防火墙；信息技术；TCP/IP协议；数据包过滤技术AbstractWiththerapiddevelopmentofcomputernetworktechnology,networksecurityissueshavebecomeincreasinglyprominentinfrontofalltypesofusers.OntheInternet,everycomputerserver,therearesecurityissuesmoreorless,thesecurityproblemisnottakenseriously,willinevitablyleadtoseriousconsequences,suchassystemdamage,lossofdata,documentsstolenanddirectandindirecteconomiclosses.Thefirewallissetbetweentheinternalsystemandexternalsystemcanprotectalldatapoints,itwillreceivetheverificationbeforedecidingwhethertodiscardorreceivethepacket,topreventtheintrusionofmalicioushostsorinternalnetworkpackets,therebyprotectingthehostorinternalnetworksecurity.Thispaperdescribestheworkingprincipleofknowledgeoffirewalltechnology,systemstructure,functionandbasictheory;thenthroughtheanalysisofthecampusnetworksecuritythreats,putforwardthedesignprinciple,systemandtheneedsofthecampusnetworkfirewallsystemimprovementscheme;finally,onthebasisofrelevanttheory,thecampusnetworkfirewallsystemwasdesignedtonetworksecuritydatadetection,datatransmissionhasbeenimprovedtosomeextent.Keywords:Campusnetworkfirewall;Informationtechnology;TCP/IPprotocol;Packetfilteringtechnology

目录1前言 12防火墙概述 12.1防火墙的工作原理 12.2防火墙的体系结构和组成形式 22.2.1屏蔽路由器 22.2.2双穴主机网关 22.2.3被屏蔽主机网关 22.2.4被屏蔽子网 32.3防火墙的功能 3（1）确定所需的防火墙类型 3（2）包过滤防火墙 3（3）应用代理 4（4）安全管理 43高校校园网防火墙存在的问题及改进 53.1高校校园网网络安全面临的威胁 5（1）计算机病毒入侵 5（2）信息共享资源的泄露 5（3）黑客攻击 5（4）校园网内部用户的攻击 5（5）网络资源的浪费 6（6）网络安全管理缺陷 63.2校园网防火墙系统设计原则 63.3校园网防火墙系统需求分析 63.4校园网防火墙系统改进方案 74校园网防火墙的设计与实现 84.1设计理论基础 84.1.1相关网络通信协议 84.1.2数据包过滤技术原理 94.2模块设计描述及实现 94.2.1主模块设计 114.2.2网络模块设计 124.2.3注册表模块设计 144.2.4类与数据结构设计 154.3改进方案分析 204.3.1优点 204.3.2不足 215结论 21参考文献 22PAGE201前言防火墙原是建筑物之间防范火灾的设施，在计算机网络中，所谓的“防火墙”也具有类似功能，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合。防火墙通常是指设置在不同网络或网络安全域之间，根据一定的安全策略对网络间的通信实施访问控制的一系列部件的组合。防火墙是目前最为流行、最为广泛使用的一种计算机网络安全技术。对于普通用户来说，“防火墙”就是一种被放置在内部网络（通常认为是可信的）的计算机与外界网络（通常认为是不可信的）之间的防御系统，从外部网络发往内部网络计算机的所有数据都要经过它的检查、判断、分析处理后，才能决定是否将这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。对于企业、学校、政府等大型网络应用来说，设置防火墙可以有效的防止来自互联网（外部网络）的恶意攻击、资源盗用等危险。因此设置防火墙可以使内部局域网（LAN）与因特网（Internet）之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。由于Internet在全世界的迅速发展及广泛应用，Internet中随之出现的信息泄密、数据篡改和服务拒绝等网络安全事件频繁发生，网络安全问题变得越来越严重。为解决这些问题，出现了很多网络安全技术和方法，防火墙是其中最为成功的一种。由于在传统的防火墙构建体系中内外网之间只设置单一防火墙作为唯一的进出控制点，若防火墙发生故障，内外网之间的通信就可能被切断，以致网络应用系统的瘫痪，也面临单点故障问题，而仅具有基本功能的防火墙又难以满足校园网络安全管理的需要，本文基于此背景研究一种可行的、有效的、较先进的防火墙系统应用设计方案，以解决校园网络安全系统中存在的关键问题。2防火墙概述防火墙是部署在主机或内部网络与外部网络之间的一道防御系统，所有经过防火墙的数据包都要经过匹配后，才决定是否丢弃或接收该数据包，防止恶意数据包对主机或内部网络的入侵，从而保护主机或内部网络的安全。2.1防火墙的工作原理目前市面上的防火墙都会具备三种不同的工作模式，透明模式、NAT模式和路由模式。透明模式时，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第2层)交换机或桥接器。在透明模式下，接口的IP地址被设置为，防火墙对于用户来说是可视或“透明”的。处于“网络地址转换(NAT)”模式下时，防火墙的作用与Layer3(第3层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的两个组件进行转换：其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个防火墙生成的任意端口号替换源端口号。路由模式时，防火墙在不同区段间转发信息流时不执行NAT；即，当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。与NAT不同，不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同，内网区段中的接口和外网区段中的接口在不同的子网中。2.2防火墙的体系结构和组成形式2.2.1屏蔽路由器这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。2.2.2双穴主机网关这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。2.2.3被屏蔽主机网关屏蔽主机网关易于实现也很安全，因此应用广泛。例如，一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。2.2.4被屏蔽子网这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：使用多堡垒主机；合并内部路由器与外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与内部路由器；使用多台内部路由器；使用多台外部路由器；使用多个周边网络；使用双重宿主主机与屏蔽子网。2.3防火墙的功能（1）确定所需的防火墙类型防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”；防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。（2）包过滤防火墙要说防火墙是一种用于在两个网络间进行访问控制的设备,防火墙系统防范的对象是来自被保护的网络的外部的对网络安全的威胁,它通过检测、限制、更改跨越防火墙的数据流,尽可能的实现对外部网络的安全保护。那么包过滤技术则是防火墙最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络数据流入和流出,包过滤技术的数据包大部分是基于TCP/IP协议平台的,对数据流的每个包进行检查,根据数据报的源地址、目的地址、TCP和IP的端口号，以及TCP的其他状态来确定是否允许数据包通过。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。包过滤的工作就是通过查看数据包的源地址、目的地址或端口来实现的，一般来说，它不保持前后连接信息，过滤决定是根据当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表，以及一个不可接受机和服务的列表。在主机和网络一级，利用数据包过滤很容易实现允许或禁止访问。（3）应用代理从代理技术上讲,一般具有一下两种代理:传统代理和透明代理。代理防火墙与包过滤防火墙本质的区别就是从客户端到代理服务器和从代理服务器到客户端是两个完全独立的过程，它将客户端请求间接传递给服务器,与目标服务器建立单独的连接,它不处理数据包包也不转发据包,它以字节流的形式接收连接,解析并验证连接所采用协议元素的内容,在安全策略允许的情况下与服务器建立连接,这样可以对数据包的内容进行细致的分析。就透明代理而言，透明代理和传统代理一样，可以比包过滤更深层次地检查数据信息，比如FTP包的port命令等。同时它也是一个非常快的代理，从物理上分离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。防火墙使用透明代理技术，这些代理服务对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。（4）安全管理用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策略，所以安全管理是选购时需要关注的重点环节。由于防火墙往往扮演的是为企业及组织网络安全把关的第一道防线，在考虑防火墙的安全管理时不可不慎。防火墙系统只能控制有经过防火墙的网络联机，因此，防火墙应该必须为连上Internet的唯一网关(gateway)。防火墙硬件的安全配置建议：将防火墙管理主控台分开－目前许多厂牌防火墙系统皆提供从远程透过另一平台管理firewall的能力，未来如有firewall增加的需要，也可以将firewall的管理工作集中控管。安装新版本操作系统或防火墙系统软件，或实行维护时，防火墙系统应该终止所有的网络连结，在经完整测试确定没问题之后再恢复网络连结。3高校校园网防火墙存在的问题及改进3.1高校校园网网络安全面临的威胁随着校园网规模的不断扩大，如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。高校的校园网网络安全主要存在以下几方面的威胁：（1）计算机病毒入侵计算机病毒入侵是校园网面临的最主要的威胁之一。可以通过网上下载、电子邮件、盗版光盘或U盘及其他移动存储设备等多种传播途径侵入校园网。尤其是计算机黑色产业链在受利益的驱使，窃取用户账号、密码，或造成信息泄露、文件丢失、破坏数据、毁损硬件、阻塞网络等，严重时甚至造成校园网络传输中断和系统瘫痪。有的图省事疏忽大意不安装杀毒软件，很容易感染病毒，病毒极易借助校园网进行跨网段传播，往往是一台计算机中毒造成大面积的电脑中毒瘫痪。（2）信息共享资源的泄露校园网络主要承担教学、科研、办公任务，因此经常要部署共享网络资源，便于师生之间的资源共享，由于缺少必要的访问控制策略和保密意识淡薄，就可能有意、无意的把重要信息，特别是科研成果长期暴露在网络上，从而被轻易窃取并传播出去造成泄密。（3）黑客攻击校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇黑客攻击的风险，黑客攻击技术也来越复杂，攻击破坏的程度越来越大，呈现出分布式攻击的趋势。针对校园网应用服务器的网络攻击，往往具有影响范围广、损失大、后续处理难度高的特点，也是目前校园网管理最关注的安全问题。校园网中较易受攻击的应用服务器主要是DNS服务器、Web应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对校园网络及服务器发起DoS、DDoS攻击，增大校园网流量，导致网络及服务不可用，甚至系统崩溃；有的恶意攻击可借助网络上泛滥的“傻瓜式”的攻击软件，非法用户甚至不具备任何计算机技术便可对校园网进行肆无忌惮的攻击。例如通过注入漏洞检测工具对WEB服务器进行数据库注入式攻击，造成学院网站主页被篡改、数据被破坏等恶果，干扰教学秩序的正常运行，给校园网带来经济和声誉损失。（4）校园网内部用户的攻击由于内部用户对网络的结构和应用模式等相对比较了解，一些学生对网络新技术充满好奇和实践欲望，为了满足好奇心或是刻意炫耀，他们经常有意无意的攻击校园网系统，对网络设备、业务系统进行攻击，干扰校园网的安全运行，给校园网的安全工作增加了难度。校园网与一般企业网不同的是，不仅要注意防止外部网络对校园网的攻击，还要注意防范校园网内部的恶意攻击。根据观察，来自校园网内部的各种攻击竟高达30％，这当中大多是一些学生因好奇发起的。防范这种来自内部的攻击，一方面要普及安全知识教育，采取相应的措施，禁止学生从互联网上下载各种病毒和黑客程序等；另一方面要加强对用户的分级管理，限制学生用户的验证和账户管理，降低其使用权限，完善防火墙监控、过滤策略等。（5）网络资源的浪费BT、迅雷、电骡等P2P软件在校园网内的大量使用，占用了大量宝贵的带宽资源，使得网络运行速度缓慢，无法开展正常业务。而用户在利用P2P软件下载网络资源的同时，也存在将外网病毒带入校园网内的隐患，对校园网的安全运行有极大影响。（6）网络安全管理缺陷校园网络安全系统复杂，管理难度大，用户群体一般也比较大，少则数千人、多则数万人，具有数据量大、速度高、阶段性强等特点。一方面要加强教育、疏导及管理工作；另一方面要完善相关的管理制度，加强关键设备的安全管理，加强人员培训，提高整体防范能力水平。3.2校园网防火墙系统设计原则从校园网防火墙系统的安全角度来看，防火墙系统必须满足以下要求（1）防火墙应该由多个构件组成，形成有一定冗余度的安全系统，避免成为校园网的“单失效点”。否则一旦被突破，校园网络系统则无安全可言。（2）防火墙应能成为抵抗网络黑客攻击的“阻塞点”，并对网络通信进行监控和审计。（3）边界防火墙一旦失效，重启动或崩溃，则应完全阻断内外部网络站点的连接，以免闯人者进入，实现“失效一安全”模式的控制要求。（4）防火墙应提供强制认证服务，外部网络节点对内部网络的访问应经过防火墙的认证检查，包括对网络用户和数据源的认证。支持Email、FTP、Telnet和WWW等应用。（5）防火墙对内部网络应起到屏蔽作用，并且隐藏内部网站的地址和内部网站的拓扑结构。（6）选用的防火墙技术应能体现成熟、先进、经济、可靠的要求。3.3校园网防火墙系统需求分析校园网防火墙系统构建是一项复杂的系统工程，实际上也是入侵者与反入侵者之间，持久的对抗与反对抗过程，不是一劳永逸地能够防范任何攻击的完美系统。我国高校校园网一般由三部分组成，第一部分为重点信息安全保护区，即为校园网中的重要应用服务器群；第二部分为边界防火墙双机系统；第三部分为校园网普通网络区域，即为校园网内除重点信息安全保护区、边界防火墙之外的其它网络设备和用户。因此，系统建设要结合考虑满足以下五点网络安全需求：（1）校园网禁止外部非校园网用户未经许可访问内部的数据，实现内部网络和重要服务器数据的安全防护。（2）划分VLAN，对各个部门之间的网络实行访问控制，未经授权原则上不能直接相互访问，实现子网隔离。（3）加强网络监控，实现对涉及重要服务器数据和攻击行为的记录与分析。（4）网络中的病毒防范。（5）加强安全管理，对内部网络访问行为进行规范化。3.4校园网防火墙系统改进方案本文在研究防火墙技术的基础上结合现有的条件设计了高校校园网防火墙系统的改进方案，如图3-1所示。图3-1校园网防火墙改进方案拓扑图（1）针对校园网边界防火墙存在的“单点失效”问题，采用双机集群防火墙如图3-1所示。如果群集中的主用防火墙发生故障，群集中的备用防火墙可以自动替换，并承担故障防火墙所做的工作，将继续处理网络数据传输并不间断提供常规安全服务。故障主机恢复后，可以加入集群成为主用机，也可以作为备用机（即主备角色互换）。（2）在图3-1所示的改进方案中，针对内部网络服务器、应用服务器的安全防范能力薄弱的问题，构建服务器主机防火墙，以有效控制非授权访问。主机防火墙负责策略的实施，在主机中如果不允许用户干预，则只包含包过滤引擎、上载审计事件的模块、加密模块等。防火墙对用户是透明，即用户感觉不到服务器有防火墙的存在；非授权用户不能修改规则，也不能绕过防火墙。在服务器中实现主机防火墙的功能，应可以也必需做到对宿主服务器的性能干扰最小。主机防火墙要实现精细的访问控制，增强服务器自身的安全性，堵住操作系统的漏洞。主机防火墙的安全监测核心引擎嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统，以消除隐患。（3）针对内部用户的属性及应用特点需求，划分若干个VLAN，以有效控制已授权用户的非授权访问。4校园网防火墙的设计与实现4.1设计理论基础4.1.1相关网络通信协议随着信息化时代的不断推进，Internet俨然已成为一个复杂的庞大系统。它将来全世界的计算机互联在一起，融合了他们的信息。那么如此多的机器之间需要进行通信，就必须有一个传输协议。如今，很多通信公司都研制了自己的通信协议来支持自己的产品，但是为了使信息资源共享，同时让计算机之间能进行数据交换，这就要求我们必须制定一个通用的协议标准，即是使用一样的通讯协议。在这个通讯协议中，各个数据包中的数据的每一位都被定义，网络中的互联计算机只要遵循这个通讯协议就能进行数据交换。TCP/IP协议制定了可靠的数据信息传递服务。IP协议即互联网协议，是网络间数据相互交换的基础，并完善网络间的互联。例如IP数据报（IPDatagram）制定了地址格式。TCP/IP协议与底层的数据链路层和物理层是相互独立的，也就是与硬件没有太大的关系，这也是TCP/IP独特的一点。这种协议需要用多种硬件平台和软件环境来实现。TCP/IP可适用于微机、巨型机等各种机型，例如在DOS、Unix、Windows等操作系统中均有实现的版本。迄今为止，TCP/IP协议应用在Internet网络中。它是目前世界上最完整的通讯协议标准。TCP/IP被划分为四个层次：网络接口层、IP层、传输层和应用层。TCP/IP将与物理网络相关部分统称为网络接口层，网络接口层之间交换的信息单位是数据帧。网络层的主要作用是为两台互联计算机进行数据交换提供平台。当传输层发送的请求被网络层接收到时，网络层会将接收到的数据封装在IP数据报中，之后设置好此报文头，选择合适的路由算法，最后判断此IP报文的最终去向。此外，当网络层接到由下层发送来的报文时，它会检测报文的有效性，接着根据相应路由算法来判断该报文是被转发出去还是本地处理。除此之外，网络层还具有处理和发送网际控制信息协议（ICMP）报文的功能。TCP/IP协议的传输层提供了应用程序之间的通讯，有UDP和TCP两种协议。传输层通过对分组报文进行一定的控制来达到数据传输的可靠性。TCP/IP协议中的应用层提供了常用的应用程序，比如DNS服务、文件传输和E-mail等。通常使用应用进程的方式来实现它的各种应用，用户直接调用应用程序就能实现数据的收发。4.1.2数据包过滤技术原理数据包过滤一般要检查网络层的IP头和传输层的头，根据以下几点来决定哪些数据包能够进行传递：数据包的目的地址；数据包的源地址；数据包的传送协议。例如IP原始地址，IP目的地址，协议类型（TCP包、UDP包和ICMP包），TCP或UDP包的目的端口，TCP或UDP包的源端口，ICMP消息类型等。数据包入接口和出接口时，如果有相应匹配并且该数据包被规则允许，那么此数据包就由路由表中的信息决定其下一步的去向。但如果即使有对应的匹配而该数据包被规则拒绝，那么此数据包也会被丢弃。如果连匹配规则都没有，那么缺省的配置信息会决定该数据包是被转发还是丢弃。数据包过滤技术让防火墙能够依据特殊的服务接收或阻止流动的数据，因为大多数服务使用者都在已知的TCP/UDP端口号上。因此我们要对TCP/UDP端口进行过滤。例如，默认的Telnet服务器连接的端口号是23，它就可以在TCP的23号端口上监听远程连接，为了防止其他Telnet的连接，防火墙只要简单地放弃所有TCP端口号等于23的数据包。为了把进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。4.2模块设计描述及实现在完成各模块时，都需要调用Windows系统相关的动态连接库，比如：kernel32．dll、user32．d11、advapi．dll、iphlpapi．d11、wsock32．dll等，这些动态链接库对我们的设计而言是相当丰富的，方便我们监听网络状态、访问注册表和存取日志文件等。其设计流程图如图4-1所示：图4-1程序流程图4.2.1主模块设计该模块贯穿了整个防火墙的设计，其中定义了loadsettings()和log两个共用函数，这两个共用函数中的许多功能函数可供设计中的其他模块进行调用。在设计中，loadsettings()函数将日志内容显示在日志标签里，并设置默认状态下的规则。主模块在本次防火墙设计中主要实现的功能有三点：实现日志内容的存取；加载相关选项与规则设置；实现程序窗口相关属性。主模块设计流程如图4-2所示：图4-2loadsettings()函数流程图Log函数定义了阻塞时的系统时间并将其显示；本地及远程端口的信息会随着规则的改变而变化，用户所执行的操作也改变状态信息主模块中部分核心代码见表4-1：表4-1主模块部分核心代码4.2.2网络模块设计网络模块的设计时网络设计中的核心部分，它主要是调用一些诸如wsock32．dll、iphlpapi．dll等DLL（动态链接库）文件，来监听互联网中的TCP包和ICMP包，并将监听到的信息提供给主窗口和日志选项。方便路由器做出路由抉择。网络模块实现的功能：获取IP地址；如果需要显示功能，则应该在该模块中定义诸如ICMP表、TCP表等的数据类型。网络模块代码设计流程如图4-3所示：图4-3网络模块设计流程图网络模块设计的核心代码见表4-2：表4-2网络模块设计核心代码4.2.3注册表模块设计注册表中有丰富的库函数，这些库函数为主模块和网络模块的实现提供了重要基础，因此也是此次设计中不可或缺的部分，它主要完成了下面两个功能：调用windows的DLL，来设置注册表相应的键值，并可以运行regedit，找到里面对应的设置来调整注册表禁止和允许的状态；为更好的配合其他模块对函数调用，首先定义好设置、存取、索引和删除键值四个函数。注册表模块代码流程如图4-4：图4-4注册表模块流程图注册表模块核心代码,见表4-3所示：表4-3注册表模块核心代码4.2.4类与数据结构设计CfireView主要结构代码，见表4-4所示：表4-4CfireView主要结构代码TDriver下的IP数据包处理函数代码，见表4-5所示：表4-5TDriver主要结构代码Filter结构体的代码内容，见表4-6所示：表4-6Filter结构体的代码IPPacket结构体的代码内容，见表4-7所示：表4-7IPPacket结构体代码TCPHeader结构体的代码内容，见表4-8：表4-8TCPHeader结构体的代码UDPHeader结构体的代码内容，见表4-9所示：表4-9UDPHeader结构体的代码CaddRuleDlg类的代码内容，见表4-10所示：表4-10CaddRuleDlg类的代码（8）IOCTL编码，见表4-11所示：表4-11IOCTL编码4.3改进方案分析4.3.1优点目前业界对防火墙“单点失效”问题的解决方法通常是冗余技术来解决的，可以是硬件冗余技术也可以是软件冗余技术，或者是软硬件相结合的冗余技术。集群(双机)技术可以很好的解决单点失效问题，主要在一些可靠性要求较高应用，但是无法防范内部的攻击行为。而应用分布式防火墙技术可以有效地提高防范内部攻击的能力，但是边界防火墙仍旧存在单点失效的问题。本文设计并实现的双机(集群)高可用的防火墙与分布式防火墙相融合的改进方案主要有以下几个优点。1.构建双机集群边界防火墙，克服传统防火墙单点失效的问题。2.部署分布式主机防火墙，有效地解决传统防火墙防外不防内的问题。3.提高分布式防火墙中边界防火墙的可靠性。4.实现“点面结合”、内外皆防的校园网防火墙技术应用的有效改进。4.3.2不足1.主备机切换问题改进方案设计实现的基于LinuxHA边界防火墙采用采用两台服务器，一主一备的运行模式，工作机对外提供服务，备份机每隔一段时间发心跳信息来监视工作机的状态是否正常一致，一旦工作机发生故障，备份机会立即自动接管工作机的应用，继续为用户提供正常服务，从而保证应用系统业务的不间断运行。由于工作机故障改进措施:在本文的方案实施时发现了该问题，并己做了改进，即故障机恢复时仅作备用机，不再做切换，避免不必要的系统迁移，减少应用干扰。2.主备系统资源利用率问题主备模式模式的不足是系统资源的浪费，当主用防火墙工作时，备用防火墙的几乎处于闲置状态。防火墙的性能也改进措施:利用负载均衡技术或实现双机双工系统。3.防火墙功能失效的发现机制问题边界防火墙的功能的实现，依赖于LinuxHeartbeat对Linux系统运行状态的心跳判断机制的准确性。实验表明，当切断主用防火墙电源时，备用防火墙可以及时发现故障并接管主防火墙进行工作;当切断被外部网络时，备用防火墙也可以及时发现故障并接管主防火墙进行工作。但是如果主用防火墙由于网络发生拥塞或防火墙功能不能正常发挥时，备份防火墙并不能察觉到异常的发生，并能有效地实现服务切换功能。因此，改进方案对基于LinuxHA边界防火墙功能的失效问题，还缺乏一个及时有效的发现机制，这一问题同样也存在于对主机防火墙失效的判断上。5结论从防火墙的诞生、起步，到现在发展成为互联网中必不可少的部分，可见他对我们网络资源的维护、信息安全的保护是多么重要。自从在网络中添加了这一道屏障之后，我们在互联网进行数据交换、信息交流甚至商业买卖都放心得多，安全得多。