【正文】 ... 8 添加過(guò)濾規(guī)則 ..................................................................................................................... 8 刪除過(guò)濾規(guī)則 ................................................................................................................... 11 驅(qū)動(dòng)程序設(shè)計(jì) ................................................................................................... 13 簡(jiǎn)介 ..................................................................................................................................... 13 結(jié)構(gòu)圖 ................................................................................................................................ 14 該驅(qū)動(dòng)的優(yōu)點(diǎn) ................................................................................................................... 14 本程序的驅(qū)動(dòng)設(shè)計(jì) ........................................................................................................... 14 6 程序測(cè)試 .................................................................................................................... 16 結(jié) 論 ........................................................................................................................ 18 參考文獻(xiàn) ........................................................................................................................ 19 致 謝 ........................................................................................................................ 20 聲 明 .......................................................................................................................... 0 第 1 頁(yè) 共 21 頁(yè) 1 引言 課題背景 防火墻 是一種隔離技術(shù)，是一類防范措施的總稱，利用它使得內(nèi)部網(wǎng)絡(luò)與Inter 或者其他外部網(wǎng)絡(luò)之間相互隔離，通過(guò)限制網(wǎng)絡(luò)互訪來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一安全通道，簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)，它可以在 IP 層設(shè)置屏障，也可以用應(yīng)用軟件來(lái)阻止外來(lái)攻擊。通過(guò)制定相應(yīng)的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進(jìn)入，同時(shí)將不符合條件的數(shù)據(jù)拒之門外，這樣就可以阻止非法用戶的侵入，保證內(nèi)部網(wǎng)絡(luò)的安全。 本課題研究意義 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了很多便利，于此同時(shí)網(wǎng)絡(luò)安全的問(wèn)題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。使用防火墻能很好的提高系統(tǒng)的安全性，減少系統(tǒng) 受 到網(wǎng)絡(luò)安全方面的威脅。本畢業(yè)設(shè)計(jì)選擇開(kāi)發(fā)一個(gè) Windows 下的防火墻，它能夠?qū)W(wǎng)絡(luò) IP 數(shù)據(jù)包按 照用戶的設(shè)置進(jìn)行過(guò)濾。通過(guò)此防火墻的開(kāi)發(fā)鍛煉了學(xué)生的實(shí)際動(dòng)手能力對(duì)以后的學(xué)習(xí)和工作能力的培養(yǎng)具有重要意義。 本課題研究方法 本 設(shè)計(jì)是 使用 VC++ 的開(kāi)發(fā)環(huán)境， 運(yùn)用 IP 過(guò)濾鉤子驅(qū)動(dòng)技術(shù) 設(shè)計(jì)和實(shí)現(xiàn)的。 本次畢業(yè)設(shè)計(jì)應(yīng)首先分析 防火墻的 相關(guān)功能，結(jié)合本次畢業(yè)設(shè)計(jì)的相關(guān)要求寫(xiě)出 需求分析；其次，綜合運(yùn)用以前所學(xué)的相關(guān)知識(shí)， 在設(shè)計(jì)中以需求分析為基礎(chǔ)，寫(xiě)出系統(tǒng)開(kāi)發(fā)計(jì)劃、實(shí)現(xiàn)流程及相關(guān)問(wèn)題的實(shí)現(xiàn)方法；同時(shí)，在開(kāi)發(fā)設(shè)計(jì)與實(shí)現(xiàn)中，要保存好相關(guān)的設(shè)計(jì)文 檔 。 2 防火墻概述 防火墻的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息 、 結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全 。 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 第 2 頁(yè) 共 21 頁(yè) 防火 墻的基本策略 按照美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)（ NCSA）的建議，制定安全計(jì)劃必須包括服務(wù)訪問(wèn)策略和防火墻設(shè)計(jì)策略。服務(wù)訪問(wèn)策略應(yīng)包括控制用戶對(duì)某些 Inter 服務(wù)的訪問(wèn)。另外，用戶也需要限制訪問(wèn)的方式，如 PPP 或 SLIP。在建立服務(wù)訪問(wèn)政策時(shí)，需要注意兩個(gè)方式： 不允許從 Inter 上訪問(wèn)到用戶的網(wǎng)絡(luò)，但是允許個(gè)別用戶（設(shè)定得到）的網(wǎng)絡(luò)訪問(wèn)有限 Inter 站點(diǎn)。但必須進(jìn)行地址偽裝； 允許有限的從 Inter 上訪問(wèn)到公司網(wǎng)絡(luò)，如從 Inter 上只能訪問(wèn)公司的 WWW 和 FTP 服務(wù)器。 作為 防火墻策略，就是定義實(shí)現(xiàn)服務(wù)訪問(wèn)策略的具體規(guī)則。在實(shí)現(xiàn)防火墻策略時(shí)，用戶可以采用以下兩個(gè)原則之一： 除了允許的事件之外，拒絕其它的任何事件。 除了拒絕的事件之外，允許其它的任何事件。 制定的策略是由一條條規(guī)則構(gòu)成的，防火墻的規(guī)則可分為三條鏈：輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈。 包過(guò)濾防火墻 數(shù)據(jù)包 數(shù)據(jù)包是指 IP 網(wǎng)絡(luò)消息。 IP 標(biāo)準(zhǔn)定義了在網(wǎng)上兩臺(tái)計(jì)算機(jī)之間發(fā)送的消息的結(jié)構(gòu) .結(jié)構(gòu)上 ,一個(gè)包包含了一個(gè)信息頭和應(yīng)被傳送數(shù)據(jù)的一段消息體。 Linux中包含的 IP防火墻機(jī)制 3種 IP消息類型 :ICMP(Inter控制 消息協(xié)議 )、 UDP(用戶數(shù)據(jù)報(bào)協(xié)議 )和 TCP(傳輸控制協(xié)議 )。所有的 IP 包頭包含了源、目的 IP 地址、IP 協(xié)議消息類型。包頭里根據(jù)協(xié)議類型還包括了不同的字段。 ICMP 數(shù)據(jù)包包含了一個(gè)類型字段 ,用來(lái)標(biāo)識(shí)控制或狀態(tài)消息類型。 UDP 和 TCP 包包含了源和目的服務(wù)端口號(hào)。 包過(guò)濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過(guò)在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的 TCP 端口號(hào)和 TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過(guò)防火墻進(jìn)入到內(nèi)部網(wǎng) 絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。 因?yàn)槁酚善魍ǔ７植荚谟胁煌踩枨蠛桶踩呗缘木W(wǎng)絡(luò)的交界處，因此可以通過(guò)在路由器上使用包過(guò)濾在可能的情況下實(shí)現(xiàn)只允許授權(quán)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)入。在這些路由器上使用包過(guò)濾師一種比較經(jīng)濟(jì)的在現(xiàn)有路由基礎(chǔ)結(jié)構(gòu)上增加防火墻功能的機(jī)制。顧名思義，包過(guò)濾在路由過(guò)程中對(duì)指定包進(jìn)行過(guò)濾（丟棄）。對(duì)過(guò)濾的判斷通常基于單個(gè)包的頭部所包含的內(nèi)容（例如源地址，目的地址，協(xié)議，端口等） 。 第 3 頁(yè) 共 21 頁(yè) 包過(guò)濾防火墻通常在操作系統(tǒng)內(nèi)部實(shí)現(xiàn)，并且操作在 IP 網(wǎng)絡(luò)和傳輸協(xié)議層。它在對(duì)基于 IP 包頭信息實(shí)施過(guò)濾后，通過(guò)對(duì)包的路由作 決策來(lái)保護(hù)系統(tǒng)。包過(guò)濾防火墻由一組接受或禁止規(guī)則列表組成。這些規(guī)則明確定義了哪個(gè)包將被允許或不允許通過(guò)網(wǎng)絡(luò)接口。防火墻規(guī)則使用在上面描述的包頭字段來(lái)決定是否允許路由一個(gè)包通過(guò)，以達(dá)到它的目的，或則無(wú)聲息的將包丟棄掉，或阻止包并向它的發(fā)送機(jī)器返回一個(gè)錯(cuò)誤狀態(tài)。這些規(guī)則是基于特定的網(wǎng)絡(luò)接口卡和主機(jī) IP 地址、網(wǎng)絡(luò)層源和目的 IP 地址、傳輸層 TCP 和 UDP 服務(wù)端口、 TCP 連接標(biāo)志、網(wǎng)絡(luò)層 ICMP 消息類型及這些包是進(jìn)入的還是發(fā)出的。 包過(guò)濾功能是所有的防火墻都具備的一個(gè)基本功能 ,實(shí)際上防火墻要完成的功能從根本上來(lái)說(shuō) ,就 是要按照用戶的要求來(lái)控制網(wǎng)絡(luò)所流通的數(shù)據(jù)包 ,屏蔽那些無(wú)益的連接。 3 開(kāi)發(fā)工具 Visual C++ Visual C++ 是微軟 98 年推出的產(chǎn)品，它提供了強(qiáng)大的編譯能力以及良好的界面操作性。能夠?qū)?Windows 9x、 Windows NT 以及 Windows 2021 下的 C++程序設(shè)計(jì)提供完善的編程環(huán)境。同時(shí) Visual C++ 對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等方面的編程也都提供相應(yīng)的環(huán)境支持。 VSS 版本控制是工作組軟件開(kāi)發(fā)中的重要方面，它能防止意外的文件丟失、允許反追蹤到早期版本、并能對(duì)版本進(jìn)行 分支、合并和管理。在軟件開(kāi)發(fā)和您需要比較兩種版本的文件或找回早期版本的文件時(shí)，源代碼的控制是非常有用的。 VSS 可以同 Visual Basic、 Visual C++、 Visual J++、 Visual InterDev、 Visual FoxPro 開(kāi)發(fā)環(huán)境以及 Microsoft Office 應(yīng)用程序集成在一起，提供了方便易用、面向項(xiàng)目的版本控制功能。 Visual SourceSafe 可以處理由各種開(kāi)發(fā)語(yǔ)言、創(chuàng)作工具或應(yīng)用程序所創(chuàng)建的任何文件類型。在提倡文件再使用的今天，用戶可以同時(shí)在文件和項(xiàng)目級(jí)進(jìn) 行工作。 Visual SourceSafe 面向項(xiàng)目的特性能更有效地管理工作組應(yīng)用程序開(kāi)發(fā)工作中的日常任務(wù) 。 4 防火墻系統(tǒng)構(gòu)成 需求分析 該防火墻的主要功能是實(shí)現(xiàn)包過(guò)濾，其他功能主要包括以下幾個(gè)方面。 能設(shè)置過(guò)濾規(guī)則，包括： IP 地址、子網(wǎng)掩碼、端口號(hào)、協(xié)議。 能添加刪除規(guī)則。 能將過(guò)濾規(guī)則保存。 能對(duì)過(guò)濾規(guī)則進(jìn)行安裝和卸載操作，即：將規(guī)則發(fā)送給 IP 過(guò)濾驅(qū)動(dòng)或從 第 4 頁(yè) 共 21 頁(yè) IP 過(guò)濾驅(qū)動(dòng)中刪除規(guī)則。 能正確完整的顯示所添加的過(guò)濾規(guī)則。 設(shè)計(jì)思路 根據(jù)程序的需求來(lái)完成功能和模塊化設(shè)計(jì)的思想，總體設(shè)計(jì)思路如下 ： 任何程序都必須具有和用戶進(jìn)行信息交互的功能，因此用戶接口部必須考慮，根據(jù)功能要求，該部分應(yīng)具備：用戶操作的功能菜單、能對(duì)過(guò)濾規(guī)則進(jìn)行設(shè)置、顯示規(guī)則界面、添加規(guī)則界面。 這樣程序的功能模塊應(yīng)該有：過(guò)濾規(guī)則添加刪除功能模塊，過(guò)濾規(guī)則顯示功能模塊，過(guò)濾規(guī)則存儲(chǔ)功能模塊，文件儲(chǔ)存功能模塊，安裝卸載規(guī)則功能模塊。 功能模塊構(gòu)成 功能模塊構(gòu)成如圖 1。 圖 1 功能模塊圖 功能模塊介紹 過(guò)濾規(guī)則添加刪除功能模塊 包過(guò)濾防火墻要進(jìn)行數(shù)據(jù)包過(guò)濾就需要按照用戶定 義的規(guī)則進(jìn)行包過(guò)濾，該功能模塊就是使用戶能夠添加或刪除過(guò)濾規(guī)則。過(guò)濾規(guī)則主要包括：源 IP 地址、子網(wǎng)掩碼、端口號(hào)，目的 IP 地址、子網(wǎng)掩碼、端口號(hào)，協(xié)議，以及對(duì)符合該規(guī)則的數(shù)據(jù)包是放行還是阻止進(jìn)行設(shè)置。然后將設(shè)置好的規(guī)則添加到存儲(chǔ)功能模塊。 過(guò)濾規(guī)則顯示功能模塊 該功能用于顯示用戶添加的規(guī)則，能夠?qū)γ恳粭l規(guī)則進(jìn)行刪除、安裝、卸載包過(guò)濾防火墻 過(guò)濾規(guī)則添加刪除功能模塊 過(guò)濾規(guī)則顯示功能模塊 過(guò)濾規(guī)則存儲(chǔ)功能模塊 文件儲(chǔ)存功能模塊 文件載入功能模塊 安裝卸載功能模塊 IP封包過(guò)濾驅(qū)動(dòng)功能模塊 第 5 頁(yè) 共 21 頁(yè) 的操作，使防火墻過(guò)濾規(guī)則能夠很詳細(xì)的顯示給用戶 。 過(guò)濾規(guī)則存儲(chǔ)功能模塊 該功能用于存儲(chǔ)用戶添加的過(guò)濾規(guī)則，接受用戶對(duì)每一條規(guī)則的操作，并按照用戶的操作將規(guī)則進(jìn)行處理。如：安裝規(guī)則，則把用 戶選擇的規(guī)則安裝到 IP過(guò)濾驅(qū)動(dòng)， IP 接收到此規(guī)則后按照此規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾。 文件存儲(chǔ)功能模塊 使用戶添加的過(guò)濾規(guī)則能夠保存成文件的形式方便儲(chǔ)存，在用戶添加規(guī)則后可以選擇某一條規(guī)則進(jìn)行保存，防火墻會(huì)將該規(guī)則保存為后綴名為 .rul 的文件，在下次打開(kāi)防火墻的時(shí)候可以直接加載該規(guī)則。 文件載入功能模塊 相對(duì)于文件儲(chǔ)存功能模塊，該功能是實(shí)現(xiàn)用戶可以導(dǎo)入一個(gè)后綴名為 .rul的并且保存了有效