【正文】 機(jī)防火墻、雙宿主機(jī)等類型。人們總是在網(wǎng)絡(luò)安全問題發(fā)生帶來嚴(yán)重后果后，才意識(shí)到網(wǎng)絡(luò)安全的重要?；ミB網(wǎng)將整個(gè)人類社會(huì)縮小成了一個(gè)村落 —— “地球村”，促進(jìn)了信息的交流，提高了人們的工作效率，豐富了人們的生活。 packetfiltering。 本畢業(yè)設(shè)計(jì)是基于 Windows 2020操作系統(tǒng)、 DDK for Windows2020工具開發(fā)包及 Visual C++。 畢業(yè)設(shè)計(jì) ( 論文 ) Windows 簡(jiǎn)單 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 論文作者姓名： 申請(qǐng)學(xué)位專業(yè)： 申請(qǐng)學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： Windows 簡(jiǎn)單 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著互連網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)給我們帶來了極大的方便。系統(tǒng)主要分為兩個(gè)模塊：過濾鉤子驅(qū)動(dòng)模塊和用戶操作界面模塊。 hook。人們享受著信息時(shí)代帶來的種種便利，體驗(yàn) 著互聯(lián)網(wǎng)帶來的 生活上的全新感受 。隨著網(wǎng)絡(luò)的進(jìn)一步普及，網(wǎng)絡(luò)安全產(chǎn)品逐漸地進(jìn)入人們的視野，而防火墻作為把守用戶安全大門的重要工具，越來越受到人們的重視。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。 本課題研究的意義 目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)型的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè)：內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來實(shí)現(xiàn)攻擊。 過濾鉤子驅(qū)動(dòng)程序是一個(gè)用于過濾網(wǎng)絡(luò)包的核心模式驅(qū)動(dòng)程序， 它 擴(kuò)展了系統(tǒng)提供的 IP 過濾 驅(qū)動(dòng)程序的功能。 2 相關(guān)理論技術(shù)基礎(chǔ) 防火墻 技術(shù) 簡(jiǎn)介 防火墻簡(jiǎn)介 Inter的發(fā)展給政府，企事業(yè)單位帶來了革命性的改革和開 放，也給個(gè)人的工作和生活帶了前所未有的改變。它是不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間的唯一出口，所有進(jìn)出這出口的訪問都得經(jīng)過它的審核。 防火墻分類 根據(jù)對(duì)限制傳輸機(jī)制的不同，把防火墻大致分成以下三種：封包過濾、代理 服務(wù) 器和應(yīng)用程序網(wǎng)關(guān)： ，這些信息都是以包的形式進(jìn)行傳輸?shù)?，?shù)據(jù) 包中包含發(fā)送方的 IP 地址，接收方的 IP 地址，端口，鏈路狀態(tài)等信息 。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器具有信息隱藏，保證有效 第 3 頁 共 20 頁 的認(rèn)證和登 陸，簡(jiǎn)化了過濾規(guī)則等優(yōu)點(diǎn)。因此，所有的通訊都需要經(jīng)過兩個(gè)連接 —— 客戶到網(wǎng)關(guān)的連接和網(wǎng)關(guān)到目的主機(jī)的連接。比如它不能防范不經(jīng)過它的攻擊，也就是可以尋找一條小路繞開防火墻把守的大門。 Visual C++ 相關(guān)技術(shù)簡(jiǎn)介 Visual C++ 是 Microsoft 公司推出的功能強(qiáng)大的軟件開發(fā)平臺(tái)，是 真正 的程序員 首選的開發(fā)工具之一。 Visual C++ 以 ANSIC++為基礎(chǔ)，并在此基礎(chǔ)上進(jìn)行了大量的擴(kuò)展，以適應(yīng)開發(fā)各種 Windows 應(yīng)用程序的需 要。每當(dāng)新的 Windows 版本出現(xiàn)時(shí)，MFC 也會(huì)得到修改以便使舊的編譯器和代碼能在新的系 統(tǒng)中工作。另外， MFC 所編寫的程序的性能也毫無損失。你所調(diào)用的很多成員函數(shù)完成 了你自己可能很難完成的工作。截獲數(shù)據(jù)包有很多種方法，首先想到了 Winpcap(Windows Packet Capture)， 它是Windows 平臺(tái)下的一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪問系統(tǒng)。 雖然 用戶態(tài)下實(shí)現(xiàn) 數(shù)據(jù)包捕獲 比較容易，但其攔截?cái)?shù)據(jù)包有一些局限性，一個(gè)最大的缺點(diǎn)就是只能在 Winsock 層次上進(jìn)行，而對(duì)于網(wǎng)絡(luò)協(xié)議棧中底層協(xié)議的數(shù)據(jù)包無法進(jìn)行處理。 圖 利用在 Microsoft Windows 2020 DDK 中介紹的 FilterHook Drive 來實(shí)現(xiàn)對(duì)所有進(jìn)出接口的數(shù)據(jù)進(jìn)行過濾。主要利用 過濾鉤子驅(qū)動(dòng) 模塊應(yīng)用輸出接口提供的四個(gè) IOCTL 來實(shí)現(xiàn)相應(yīng)功能： START_IP_HOOK(注冊(cè)過濾函數(shù) )；STOP_IP_HOOK（撤消過濾函數(shù)）； ADD_FILTER（安裝新的過濾規(guī)則） CLEAR_FILTER（清除所有規(guī)則） 4 過濾鉤子 驅(qū)動(dòng)的實(shí)現(xiàn) Filter_Hook Driver 概述 在 Windows2020 DDK 中， Microsoft 聲稱 包括了新的網(wǎng)絡(luò)驅(qū)動(dòng)類型 FilterHook Driver。 從 Windows 2020 開始， IpFilterDrive 成為系統(tǒng)自帶的一個(gè)驅(qū)動(dòng)。這一部分說明文檔論述了 filterhook 驅(qū)程實(shí)現(xiàn)的回調(diào)函數(shù)和該驅(qū)程用以注冊(cè)回調(diào)函數(shù)的 i/o 控制碼。由于是使用函數(shù)的地址而不是函數(shù)的名字注冊(cè)過濾鉤子的入口點(diǎn)，所以可以自由的為過濾鉤子函數(shù)命名。以下是該數(shù)據(jù)類型原型： tyfedef PF_FORWARD_ACTION (*PacketFilterExtensionPtr)( IN unsigned char *PacketHeader, //封包的 IP 頭指針 IN unsigned char *Packet, //具體封包數(shù)據(jù)，不包括頭指針 IN unsigned int PacketLength, //具體封包數(shù)據(jù)大小，不包含頭指針 IN ubsigned int RecvInterfaceTndex, //接收數(shù)據(jù)的接口適配器編號(hào) IN unsigned int SendInterfaceIndex , //發(fā)送數(shù)據(jù)的接口適配器編號(hào) IN IPAddr RecvLinkNextHop, //接收數(shù)據(jù)包的適配器 IP 地址 IN IPAddr SendLinkNextHop //發(fā)送數(shù)據(jù)包的適配器 IP 地址 )。 //服務(wù)類型 USHORT ipLength。 //生存時(shí)間 UCHAR ipProtocol。 //目的 IP 地址 }IPPacket。 //目的端口 ULONG sequenceNumber。 //標(biāo)志 USHORT windows。 //源端口號(hào) USHORT destinationPort。 在過濾器鉤子驅(qū)動(dòng)通過系統(tǒng)提供的 IP 過濾器驅(qū)動(dòng)注冊(cè)其過濾鉤子（ filter hook ）的入口點(diǎn)時(shí)，已給出了過濾器鉤子的符號(hào)（可變）地址 。 首先是把數(shù)據(jù)包的特定信息和 IP 過濾器驅(qū)動(dòng)提供給過濾器鉤子的信息加以比較，以此決定數(shù)據(jù)包下一步如何被處理 。 PF DROP 表示 IP 過濾驅(qū)動(dòng)程序?qū)⒘⒖滔?IP 協(xié)議棧發(fā)出丟棄響應(yīng)， IP 協(xié)議將丟棄該數(shù)據(jù)包。過濾器鉤子驅(qū)動(dòng)程序設(shè)置了過濾器鉤子回調(diào)函數(shù)，并通知 IP 過濾器驅(qū) 動(dòng) 為每個(gè)傳入或者傳出的 IP 數(shù)據(jù)包調(diào)用這個(gè)鉤子回調(diào)函數(shù)。 NTSTATUS IoGetDrivceObjectPointer( IN PUNICODE_STRING ObjectName。 調(diào)用此函數(shù)時(shí)，為 ObjectName 參數(shù)傳遞 IP 過濾驅(qū)動(dòng)名稱“ \Device\IPFILTERDRIVER”,為 DesireAccess 參數(shù)傳遞 FILE_ALL_ACCESS 過濾器鉤子驅(qū)動(dòng)程序使用 PF_SET_EXTENSION_POINTER 控制碼建立一個(gè) IRP，并將其提交給 IP 過濾鉤子驅(qū)動(dòng)程序，通常 filterhook 驅(qū) 動(dòng) 程 序 調(diào) 用IoBuildDeviceIoControlRequest 函數(shù)建立所需 IRP，該控制碼向 IP 過濾器驅(qū)動(dòng)程序注冊(cè)過濾鉤子回調(diào)函數(shù)。該控制碼也用來從 IP 過濾驅(qū)動(dòng)程序中清除回調(diào)函數(shù)，為了清除過濾器鉤子，這個(gè)結(jié)構(gòu)包括了空（ NULL）值。在這次調(diào)用中，過濾器鉤子驅(qū)動(dòng)傳遞了一個(gè)指向 IP 過濾驅(qū)動(dòng)設(shè)備對(duì)象的指針，也就是先前已經(jīng)創(chuàng)建的IRP 指針。 成員 ExtensionPointer 是指向 hook 回調(diào)函數(shù)的指針 .通過該結(jié)構(gòu)完成向 IP 過濾驅(qū)動(dòng)程序注冊(cè) hook 函數(shù) .如果 ExtensionPointer 為 NULL,則從 IP 過濾驅(qū)動(dòng)程序中清除回調(diào)函數(shù)。 為了獲得 I/O 控制請(qǐng)求 ， 過濾器鉤子驅(qū)動(dòng)程序的設(shè)備控制例程必須調(diào)用IoGetCurrentIrpStackIocation 函數(shù) ， 在調(diào)用中 ， 設(shè)備控制例程把一個(gè) IRP 指針傳遞給IoGetCurrentIrpStackIocation 函數(shù) ， 然后設(shè)備控制例程決定哪一個(gè) I/O 控制請(qǐng)求已經(jīng)收到并且做相應(yīng)的處理 。在鉤子回調(diào)函數(shù)中，當(dāng)有數(shù)據(jù)包需要通過時(shí)得遍歷這個(gè)列表。 //定義列表首地址 向過濾列表中添加規(guī)則時(shí)，首先申請(qǐng)一塊 CFilterList 結(jié)構(gòu)大小的內(nèi)存，然后用正確的參數(shù)來填充這塊內(nèi)存，最后連接到過濾列表中。具體的過濾函數(shù)實(shí)際上就是過濾鉤子回調(diào)函數(shù)，當(dāng)有數(shù)據(jù)包的發(fā)送或者接收時(shí)鉤子回調(diào)函數(shù)將會(huì)被調(diào)用。用戶單擊添加過濾規(guī)則 彈出添加規(guī)則對(duì)話框，為用戶提供添加過濾規(guī)則的輸入界面，單擊刪除時(shí)則實(shí)現(xiàn)刪除用戶選定的過濾規(guī)則；當(dāng)用戶單擊安裝規(guī)則和卸載規(guī)則時(shí)，則分別發(fā)送控制代碼 ADD_FILTER 和 CLEAR_FILTER 來實(shí)現(xiàn)過濾規(guī)則的加載或者卸載。用戶可以單擊“ 開始過濾”和“停止過濾”來決定數(shù)據(jù)過濾的開始與停止。如源 ip 地址、源端口號(hào)，目的 ip 地址、目的端口號(hào)等內(nèi)容。 ② 變量盡量不使用縮寫，個(gè)別較長(zhǎng)的單詞或已成習(xí)慣縮寫如下 Initialize Init 初始化 Dialog Dlg 對(duì)話框 Application App 應(yīng)用程序 ③ 自定義的全局變量用 m_開頭，過程變量則不用 變量的前綴用變量類 型的第一個(gè)字母標(biāo)志變量類型。 CRuleDlg：從 CDialog 派生，過濾規(guī)則相關(guān) 核心代碼 CMainFram 類主要是加載 IP 過濾驅(qū)動(dòng)、 IP 過濾鉤子驅(qū)動(dòng)和處理菜單命令。 // 指示是否啟動(dòng) ?? }； // 文件 CMainFrame::CMainFrame() { // 確保 IP 過濾驅(qū)動(dòng)啟動(dòng)（否則怎樣為它安裝鉤子？） m_pIPFltDrv = new CDriver(, IpFltDrv)。 ::GetFullPathName(, 256, szPath, amp。 exit(1)。 if(m_pIPFltDrv != NULL) delete m_pIPFltDrv。 return。 } } 安裝和卸載過濾條件 這項(xiàng)工作是通過向 IP 過濾驅(qū)動(dòng)發(fā)送控制代碼 ADD_FILTER 和 CLEAR_FILTER來實(shí)現(xiàn)的。 for(int i=0。pf, amp。 // 發(fā)送設(shè)備控制代碼 nRet = m_pFilterDrvIoControl(ADD_FILTER, amp。 } } } void CMainFrame::OnRulesUninstall() // 卸載過濾條件 { // 清除過濾條件 m_pFilterDrvIoControl(CLEAR_FILTER, NULL, 0, NULL, 0)。 } // 彈出保存對(duì)話框 CFileDialog dlg(FALSE, rul, NULL, OFN_HIDEREADONLY | OFN_CREATEPROMPT, Rule Files(*.rul)|*.rul|all(*.*)|*.*||, NULL)。 ipDocm_nRules。 } } 結(jié) 論 隨著網(wǎng)絡(luò)的發(fā)展，個(gè)人防火墻越來越受到重視，用戶對(duì)個(gè)人防火墻的要求也越來越高。日志功能是防火墻很重要的功能之一 ，通過防火墻日志用 戶可以更好地維護(hù)和管理網(wǎng)絡(luò)。 [2] 鄭莉 ,董淵 . 著 C++語言程序設(shè)計(jì) [M].北京：清華大學(xué)出版 .2020。 [6] Marcus Goncalves[美 ] 著 .防火墻技術(shù)大全 [M]. 北京： 中國電力出版社 .1999。在短暫的幾個(gè)月的相處時(shí)間里，老師淵博的知識(shí)、敏銳的思路和實(shí)事求是的工作作風(fēng)給我留下了深刻的印象，這將使得我終身受益，謹(jǐn)此向老師表示衷心的感謝和崇高的敬意 。 最后，要感謝的是在百忙之中抽出時(shí)間來審閱我的論文的各位老師，謝謝您們！ 作者簡(jiǎn)介： 姓 名：李書琴 性別： 男 出生年月： 民族： 漢 Email: 第 20 頁 共 20 頁 聲 明 本論文的工作是 2020 年 02 月至 2020 年 06 月在成都信息工程學(xué)院網(wǎng)絡(luò)工程 系完成的。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 This thing Iˇ m on barely keeps me off