【正文】 .................................................................................. 14 6 程序測(cè)試 .................................................................................................................... 16 結(jié) 論 ........................................................................................................................ 18 參考文獻(xiàn) ........................................................................................................................ 19 致 謝 ........................................................................................................................ 20 聲 明 .......................................................................................................................... 0 第 1 頁(yè) 共 21 頁(yè) 1 引言 課題背景 防火墻 是一種隔離技術(shù)，是一類(lèi)防范措施的總稱，利用它使得內(nèi)部網(wǎng)絡(luò)與Inter 或者其他外部網(wǎng)絡(luò)之間相互隔離，通過(guò)限制網(wǎng)絡(luò)互訪來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。 關(guān)鍵詞 ： 防火墻；過(guò)濾鉤子；過(guò)濾驅(qū)動(dòng)；包過(guò)濾 The Design and Implement of Simple Windows Firewall Abstract The current era is a rapid development of information age. The technologies of puter and information processing bee maturity. With the Inter and puter work technology to be flourishing, work security that has been widely concerned. Firewall system is one of the security technologies that used in the work. This design has implemented a firewall adopting the IP filterhook driver technology。網(wǎng)絡(luò)防火墻系統(tǒng)就是網(wǎng)絡(luò)安全技術(shù)在實(shí)際中的應(yīng)用之一。隨著Inter 和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展， 網(wǎng)絡(luò)安全問(wèn)題現(xiàn)在已經(jīng)得到普遍重視。 用戶只需要通過(guò)主界面菜單和按鈕就可以靈活 地操作防火墻 ，有效 地保護(hù) Windows 系統(tǒng) 的 安全。 Filter Driver。 本課題研究意義 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了很多便利，于此同時(shí)網(wǎng)絡(luò)安全的問(wèn)題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。 本課題研究方法 本 設(shè)計(jì)是 使用 VC++ 的開(kāi)發(fā)環(huán)境， 運(yùn)用 IP 過(guò)濾鉤子驅(qū)動(dòng)技術(shù) 設(shè)計(jì)和實(shí)現(xiàn)的。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全 。服務(wù)訪問(wèn)策略應(yīng)包括控制用戶對(duì)某些 Inter 服務(wù)的訪問(wèn)。 作為 防火墻策略，就是定義實(shí)現(xiàn)服務(wù)訪問(wèn)策略的具體規(guī)則。 包過(guò)濾防火墻 數(shù)據(jù)包 數(shù)據(jù)包是指 IP 網(wǎng)絡(luò)消息。包頭里根據(jù)協(xié)議類(lèi)型還包括了不同的字段。 因?yàn)槁酚善魍ǔ７植荚谟胁煌踩枨蠛桶踩呗缘木W(wǎng)絡(luò)的交界處，因此可以通過(guò)在路由器上使用包過(guò)濾在可能的情況下實(shí)現(xiàn)只允許授權(quán)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)入。 第 3 頁(yè) 共 21 頁(yè) 包過(guò)濾防火墻通常在操作系統(tǒng)內(nèi)部實(shí)現(xiàn)，并且操作在 IP 網(wǎng)絡(luò)和傳輸協(xié)議層。防火墻規(guī)則使用在上面描述的包頭字段來(lái)決定是否允許路由一個(gè)包通過(guò)，以達(dá)到它的目的，或則無(wú)聲息的將包丟棄掉，或阻止包并向它的發(fā)送機(jī)器返回一個(gè)錯(cuò)誤狀態(tài)。能夠?qū)?Windows 9x、 Windows NT 以及 Windows 2021 下的 C++程序設(shè)計(jì)提供完善的編程環(huán)境。 VSS 可以同 Visual Basic、 Visual C++、 Visual J++、 Visual InterDev、 Visual FoxPro 開(kāi)發(fā)環(huán)境以及 Microsoft Office 應(yīng)用程序集成在一起，提供了方便易用、面向項(xiàng)目的版本控制功能。 4 防火墻系統(tǒng)構(gòu)成 需求分析 該防火墻的主要功能是實(shí)現(xiàn)包過(guò)濾，其他功能主要包括以下幾個(gè)方面。 能對(duì)過(guò)濾規(guī)則進(jìn)行安裝和卸載操作，即：將規(guī)則發(fā)送給 IP 過(guò)濾驅(qū)動(dòng)或從 第 4 頁(yè) 共 21 頁(yè) IP 過(guò)濾驅(qū)動(dòng)中刪除規(guī)則。 功能模塊構(gòu)成 功能模塊構(gòu)成如圖 1。 過(guò)濾規(guī)則顯示功能模塊 該功能用于顯示用戶添加的規(guī)則，能夠?qū)γ恳粭l規(guī)則進(jìn)行刪除、安裝、卸載包過(guò)濾防火墻 過(guò)濾規(guī)則添加刪除功能模塊 過(guò)濾規(guī)則顯示功能模塊 過(guò)濾規(guī)則存儲(chǔ)功能模塊 文件儲(chǔ)存功能模塊 文件載入功能模塊 安裝卸載功能模塊 IP封包過(guò)濾驅(qū)動(dòng)功能模塊 第 5 頁(yè) 共 21 頁(yè) 的操作，使防火墻過(guò)濾規(guī)則能夠很詳細(xì)的顯示給用戶 。 文件載入功能模塊 相對(duì)于文件儲(chǔ)存功能模塊，該功能是實(shí)現(xiàn)用戶可以導(dǎo)入一個(gè)后綴名為 .rul的并且保存了有效規(guī)則的文件。 IP 封包過(guò)濾驅(qū)動(dòng)功能模塊 該功能模塊是整個(gè)包過(guò)濾防火墻的核心部分， IP 封包過(guò)濾驅(qū)動(dòng)能按照用戶定義的規(guī)則對(duì)數(shù)據(jù)包做出阻止或是放行的選擇。它構(gòu)成了程序功能的主框架。//開(kāi)始過(guò)濾的標(biāo)志， TRUE已開(kāi)始， FALSE未開(kāi)始 TDriver filterDriver。 //{{AFX_MSG(CMainFrame) afx_msg void OnAppExit()。//開(kāi)始過(guò)濾按鈕 afx_msg void OnButtonstop()。//添加規(guī)則菜單 afx_msg void OnMenuDelRule()。//開(kāi)始過(guò)濾菜單 afx_msg void OnMenuStop()。 在主框架類(lèi) CMainFrame 中定義了應(yīng)用程序的所有基本功能。//規(guī)則序數(shù) RuleInfo rules[MAX_RULES]。//重置規(guī)則，即在加載規(guī)則前，需要?jiǎng)h除規(guī)則列表中及存儲(chǔ)在文檔類(lèi) CFireWallDoc 中的所有規(guī)則 }。//指針指向文檔類(lèi)，和文檔類(lèi) CFireWallDoc關(guān)聯(lián)。//將文檔類(lèi) CFireWallDoc 中的規(guī)則顯示出來(lái) }。 unsigned short sourcePort。 unsigned int protocol。 圖 2 程序主界面 添加過(guò)濾規(guī)則 添加過(guò)濾規(guī)則的功能是通過(guò)一個(gè)“添加規(guī)則”對(duì)話框完成 ， 如圖 3。//使控件列表與控件關(guān)聯(lián) result=i_addr(m_ipsource,amp。srcMask)。//從目的 IP 地址編輯框獲取目的IP 地址賦給 dstIp。 if(m_protocol == TCP) protocol = 6。 if(m_action == 放行 ) cAction = 0。//目的端口 將取得的數(shù)據(jù)添加到文檔類(lèi)中： BOOL CFireWallDoc::AddRule(unsigned long srcIp, unsigned long srcMask, unsigned short srcPort, unsigned long dstIp, unsigned long dstMask, unsigned short dstPort, unsigned int protocol, int action) { rules[nRules].sourceIp = srcIp。 rules[nRules].destinationMask = dstMask。 nRules++。當(dāng)正在進(jìn)行過(guò)濾時(shí)，則要先停止過(guò)濾，才能刪除規(guī)則。//選中的規(guī)則 if(started == TRUE)//如果正在過(guò)濾 { CString strTemp。//position 是當(dāng)前選擇的規(guī) 則的下一條的序數(shù) 是 開(kāi)始 格式匹配？ 取得對(duì)話框中的 數(shù)據(jù) 將數(shù)據(jù)添加到 Doc 中 彈出添加規(guī)則對(duì)話框 結(jié)束 輸入 正確的 規(guī)則 否 第 12 頁(yè) 共 21 頁(yè) 實(shí)現(xiàn)刪除規(guī)則功能的程序流程如圖 5。//更新規(guī)則列表的顯示 } void CFireWallDoc::DeleteRule(unsigned int position) { if(position = nRules) return。i++) { rules[i 1].sourceIp = rules[i].sourceIp。 否 開(kāi)始 取得當(dāng)前選擇的規(guī)則 正在過(guò)濾 ？ 調(diào)用 DeleteRule() 更新列表顯示 結(jié)束 停止過(guò)濾 是 第 13 頁(yè) 共 21 頁(yè) rules[i 1].destinationMask = rules[i].destinationMask。 } } nRules。 安裝過(guò)濾函數(shù)之前，先將過(guò)濾函數(shù)的地址填入 IP_SET_FIREWALL_HOOK_INFO結(jié)構(gòu)的 FirewallPtr 指針中， Add 設(shè)置為 TRUE，并指定該過(guò)濾函數(shù)優(yōu)先級(jí)Priority，然后向 IP 設(shè)備發(fā)送 IOCTL IOCTL_IP_SET_FIREWALL_HOOK 控制碼，這樣就完成了過(guò)濾函數(shù)的安裝?？梢园堰@些過(guò)濾函數(shù)想象成一個(gè)過(guò)濾鏈，所有的函數(shù)按照優(yōu)先級(jí)排列，如果一個(gè)函數(shù)返回 “ 丟棄包 ” ，這條過(guò)濾鏈就斷開(kāi)了。但不能過(guò)濾更低層的頭部數(shù)據(jù)，例如：不能過(guò)濾以太幀數(shù)據(jù)。但包過(guò)濾API(Packet Filtering API)更加容易使用，盡管它缺少?gòu)椥裕绮荒芴幚戆膬?nèi)容，不能用包過(guò)濾 API 修改內(nèi)容。 } 當(dāng)用戶 單擊 “ 停止過(guò)濾 ” 按鈕時(shí)，程序向驅(qū)動(dòng)發(fā)送 START_IP_HOOK 控制代碼，停止過(guò)濾： CMainFrame::OnButtonstop() { (STOP_IP_HOOK,NULL,0)。 } 當(dāng)用戶單擊 “ 卸載規(guī)則 ” 按鈕時(shí)，程序向驅(qū)動(dòng)發(fā)送 CLEAR_FILTER 控制代碼 : CMainFrame::OnButtonuninstall() { (CLEAR_FILTER, NULL, 0)。 第 17 頁(yè) 共 21 頁(yè) 源地址： 目的地址 端口號(hào)： 0（所有端口） 協(xié)議：由于 PING 命令基于 ICMP 協(xié)議，所以協(xié)議選擇： ICMP 行為：丟棄 圖 10 添加規(guī)則圖 點(diǎn)擊“添加”按鈕將規(guī)則保存到防火墻：如圖 11。但是本地計(jì)算機(jī)還能和電信 DNS 服務(wù)器 進(jìn)行數(shù)據(jù)收發(fā)。此防火墻的開(kāi)發(fā)是在了解和熟悉了 TCP、 UDP、 ICMP 協(xié)議以及 IP 封包過(guò)濾驅(qū)動(dòng)的基礎(chǔ)上，運(yùn)用 VC++這一編程語(yǔ)言來(lái)開(kāi)發(fā)的。對(duì)以后的學(xué)習(xí)和工作 都有 很大的 第 19 頁(yè) 共 21 頁(yè) 幫助。 [4] 黎連業(yè) ,張維 .防火墻及其應(yīng)用技術(shù) [M].北京：清華大學(xué)出版社 ,2021。 第 20 頁(yè) 共 21 頁(yè) 致 謝 本 文是在索望老師的熱情關(guān)心和指導(dǎo)下完成的，他淵博的知識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對(duì)順利完成本課題起到了極大的作用。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明： 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門(mén)遞交學(xué)位論文的原件與復(fù)印件。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。網(wǎng)絡(luò)防火墻系統(tǒng)就是網(wǎng)絡(luò)安全技術(shù)在實(shí)際中的應(yīng)用之一。 關(guān)鍵詞 ： 防火墻；過(guò)濾鉤子；過(guò)濾驅(qū)動(dòng)；包過(guò)濾 The Design and Implement of Simple Windows Firewall Abstract