【正文】 .................................................................................. 14 6 程序測試 .................................................................................................................... 16 結(jié) 論 ........................................................................................................................ 18 參考文獻 ........................................................................................................................ 19 致 謝 ........................................................................................................................ 20 聲 明 .......................................................................................................................... 0 第 1 頁 共 21 頁 1 引言 課題背景 防火墻 是一種隔離技術(shù)，是一類防范措施的總稱，利用它使得內(nèi)部網(wǎng)絡(luò)與Inter 或者其他外部網(wǎng)絡(luò)之間相互隔離，通過限制網(wǎng)絡(luò)互訪來保護內(nèi)部網(wǎng)絡(luò)。 關(guān)鍵詞 ： 防火墻；過濾鉤子；過濾驅(qū)動；包過濾 The Design and Implement of Simple Windows Firewall Abstract The current era is a rapid development of information age. The technologies of puter and information processing bee maturity. With the Inter and puter work technology to be flourishing, work security that has been widely concerned. Firewall system is one of the security technologies that used in the work. This design has implemented a firewall adopting the IP filterhook driver technology。網(wǎng)絡(luò)防火墻系統(tǒng)就是網(wǎng)絡(luò)安全技術(shù)在實際中的應(yīng)用之一。隨著Inter 和計算機網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展， 網(wǎng)絡(luò)安全問題現(xiàn)在已經(jīng)得到普遍重視。 用戶只需要通過主界面菜單和按鈕就可以靈活 地操作防火墻 ，有效 地保護 Windows 系統(tǒng) 的 安全。 Filter Driver。 本課題研究意義 隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)給人們帶來了很多便利，于此同時網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。 本課題研究方法 本 設(shè)計是 使用 VC++ 的開發(fā)環(huán)境， 運用 IP 過濾鉤子驅(qū)動技術(shù) 設(shè)計和實現(xiàn)的。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全 。服務(wù)訪問策略應(yīng)包括控制用戶對某些 Inter 服務(wù)的訪問。 作為 防火墻策略，就是定義實現(xiàn)服務(wù)訪問策略的具體規(guī)則。 包過濾防火墻 數(shù)據(jù)包 數(shù)據(jù)包是指 IP 網(wǎng)絡(luò)消息。包頭里根據(jù)協(xié)議類型還包括了不同的字段。 因為路由器通常分布在有不同安全需求和安全策略的網(wǎng)絡(luò)的交界處，因此可以通過在路由器上使用包過濾在可能的情況下實現(xiàn)只允許授權(quán)網(wǎng)絡(luò)的數(shù)據(jù)進入。 第 3 頁 共 21 頁 包過濾防火墻通常在操作系統(tǒng)內(nèi)部實現(xiàn)，并且操作在 IP 網(wǎng)絡(luò)和傳輸協(xié)議層。防火墻規(guī)則使用在上面描述的包頭字段來決定是否允許路由一個包通過，以達到它的目的，或則無聲息的將包丟棄掉，或阻止包并向它的發(fā)送機器返回一個錯誤狀態(tài)。能夠?qū)?Windows 9x、 Windows NT 以及 Windows 2021 下的 C++程序設(shè)計提供完善的編程環(huán)境。 VSS 可以同 Visual Basic、 Visual C++、 Visual J++、 Visual InterDev、 Visual FoxPro 開發(fā)環(huán)境以及 Microsoft Office 應(yīng)用程序集成在一起，提供了方便易用、面向項目的版本控制功能。 4 防火墻系統(tǒng)構(gòu)成 需求分析 該防火墻的主要功能是實現(xiàn)包過濾，其他功能主要包括以下幾個方面。 能對過濾規(guī)則進行安裝和卸載操作，即：將規(guī)則發(fā)送給 IP 過濾驅(qū)動或從 第 4 頁 共 21 頁 IP 過濾驅(qū)動中刪除規(guī)則。 功能模塊構(gòu)成 功能模塊構(gòu)成如圖 1。 過濾規(guī)則顯示功能模塊 該功能用于顯示用戶添加的規(guī)則，能夠?qū)γ恳粭l規(guī)則進行刪除、安裝、卸載包過濾防火墻 過濾規(guī)則添加刪除功能模塊 過濾規(guī)則顯示功能模塊 過濾規(guī)則存儲功能模塊 文件儲存功能模塊 文件載入功能模塊 安裝卸載功能模塊 IP封包過濾驅(qū)動功能模塊 第 5 頁 共 21 頁 的操作，使防火墻過濾規(guī)則能夠很詳細的顯示給用戶 。 文件載入功能模塊 相對于文件儲存功能模塊，該功能是實現(xiàn)用戶可以導(dǎo)入一個后綴名為 .rul的并且保存了有效規(guī)則的文件。 IP 封包過濾驅(qū)動功能模塊 該功能模塊是整個包過濾防火墻的核心部分， IP 封包過濾驅(qū)動能按照用戶定義的規(guī)則對數(shù)據(jù)包做出阻止或是放行的選擇。它構(gòu)成了程序功能的主框架。//開始過濾的標(biāo)志， TRUE已開始， FALSE未開始 TDriver filterDriver。 //{{AFX_MSG(CMainFrame) afx_msg void OnAppExit()。//開始過濾按鈕 afx_msg void OnButtonstop()。//添加規(guī)則菜單 afx_msg void OnMenuDelRule()。//開始過濾菜單 afx_msg void OnMenuStop()。 在主框架類 CMainFrame 中定義了應(yīng)用程序的所有基本功能。//規(guī)則序數(shù) RuleInfo rules[MAX_RULES]。//重置規(guī)則，即在加載規(guī)則前，需要刪除規(guī)則列表中及存儲在文檔類 CFireWallDoc 中的所有規(guī)則 }。//指針指向文檔類，和文檔類 CFireWallDoc關(guān)聯(lián)。//將文檔類 CFireWallDoc 中的規(guī)則顯示出來 }。 unsigned short sourcePort。 unsigned int protocol。 圖 2 程序主界面 添加過濾規(guī)則 添加過濾規(guī)則的功能是通過一個“添加規(guī)則”對話框完成 ， 如圖 3。//使控件列表與控件關(guān)聯(lián) result=i_addr(m_ipsource,amp。srcMask)。//從目的 IP 地址編輯框獲取目的IP 地址賦給 dstIp。 if(m_protocol == TCP) protocol = 6。 if(m_action == 放行 ) cAction = 0。//目的端口 將取得的數(shù)據(jù)添加到文檔類中： BOOL CFireWallDoc::AddRule(unsigned long srcIp, unsigned long srcMask, unsigned short srcPort, unsigned long dstIp, unsigned long dstMask, unsigned short dstPort, unsigned int protocol, int action) { rules[nRules].sourceIp = srcIp。 rules[nRules].destinationMask = dstMask。 nRules++。當(dāng)正在進行過濾時，則要先停止過濾，才能刪除規(guī)則。//選中的規(guī)則 if(started == TRUE)//如果正在過濾 { CString strTemp。//position 是當(dāng)前選擇的規(guī) 則的下一條的序數(shù) 是 開始 格式匹配？ 取得對話框中的 數(shù)據(jù) 將數(shù)據(jù)添加到 Doc 中 彈出添加規(guī)則對話框 結(jié)束 輸入 正確的 規(guī)則 否 第 12 頁 共 21 頁 實現(xiàn)刪除規(guī)則功能的程序流程如圖 5。//更新規(guī)則列表的顯示 } void CFireWallDoc::DeleteRule(unsigned int position) { if(position = nRules) return。i++) { rules[i 1].sourceIp = rules[i].sourceIp。 否 開始 取得當(dāng)前選擇的規(guī)則 正在過濾 ？ 調(diào)用 DeleteRule() 更新列表顯示 結(jié)束 停止過濾 是 第 13 頁 共 21 頁 rules[i 1].destinationMask = rules[i].destinationMask。 } } nRules。 安裝過濾函數(shù)之前，先將過濾函數(shù)的地址填入 IP_SET_FIREWALL_HOOK_INFO結(jié)構(gòu)的 FirewallPtr 指針中， Add 設(shè)置為 TRUE，并指定該過濾函數(shù)優(yōu)先級Priority，然后向 IP 設(shè)備發(fā)送 IOCTL IOCTL_IP_SET_FIREWALL_HOOK 控制碼，這樣就完成了過濾函數(shù)的安裝?？梢园堰@些過濾函數(shù)想象成一個過濾鏈，所有的函數(shù)按照優(yōu)先級排列，如果一個函數(shù)返回 “ 丟棄包 ” ，這條過濾鏈就斷開了。但不能過濾更低層的頭部數(shù)據(jù)，例如：不能過濾以太幀數(shù)據(jù)。但包過濾API(Packet Filtering API)更加容易使用，盡管它缺少彈性，例如不能處理包的內(nèi)容，不能用包過濾 API 修改內(nèi)容。 } 當(dāng)用戶 單擊 “ 停止過濾 ” 按鈕時，程序向驅(qū)動發(fā)送 START_IP_HOOK 控制代碼，停止過濾： CMainFrame::OnButtonstop() { (STOP_IP_HOOK,NULL,0)。 } 當(dāng)用戶單擊 “ 卸載規(guī)則 ” 按鈕時，程序向驅(qū)動發(fā)送 CLEAR_FILTER 控制代碼 : CMainFrame::OnButtonuninstall() { (CLEAR_FILTER, NULL, 0)。 第 17 頁 共 21 頁 源地址： 目的地址 端口號： 0（所有端口） 協(xié)議：由于 PING 命令基于 ICMP 協(xié)議，所以協(xié)議選擇： ICMP 行為：丟棄 圖 10 添加規(guī)則圖 點擊“添加”按鈕將規(guī)則保存到防火墻：如圖 11。但是本地計算機還能和電信 DNS 服務(wù)器 進行數(shù)據(jù)收發(fā)。此防火墻的開發(fā)是在了解和熟悉了 TCP、 UDP、 ICMP 協(xié)議以及 IP 封包過濾驅(qū)動的基礎(chǔ)上，運用 VC++這一編程語言來開發(fā)的。對以后的學(xué)習(xí)和工作 都有 很大的 第 19 頁 共 21 頁 幫助。 [4] 黎連業(yè) ,張維 .防火墻及其應(yīng)用技術(shù) [M].北京：清華大學(xué)出版社 ,2021。 第 20 頁 共 21 頁 致 謝 本 文是在索望老師的熱情關(guān)心和指導(dǎo)下完成的，他淵博的知識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對順利完成本課題起到了極大的作用。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識產(chǎn)權(quán)的說明： 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。網(wǎng)絡(luò)防火墻系統(tǒng)就是網(wǎng)絡(luò)安全技術(shù)在實際中的應(yīng)用之一。 關(guān)鍵詞 ： 防火墻；過濾鉤子；過濾驅(qū)動；包過濾 The Design and Implement of Simple Windows Firewall Abstract