【正文】 論文作者姓名： 申請(qǐng)學(xué)位專業(yè)： 申請(qǐng)學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 簡(jiǎn)易 Windows 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 摘 要 當(dāng)今時(shí)代是飛速發(fā)展的信息時(shí)代，計(jì)算機(jī)與信息處理技術(shù)日漸成熟。 it’s driven through the kernel mode, the filterhook callback function has been implemented and the filterhook driver is registered by the IP filter driver which is provided by system. The IP filter driver uses the filterhook to handle the data packets in and out. The firewall is posed of the following modules: adding filter rules module, display filter rules module, storage filter rules module, storage file module, installation and unloading rules module, IP packet driver module. Users can finish the operation by using main menu and button and protect the system effectively. Key words: Firewall。本畢業(yè)設(shè)計(jì)選擇開(kāi)發(fā)一個(gè) Windows 下的防火墻，它能夠?qū)W(wǎng)絡(luò) IP 數(shù)據(jù)包按 照用戶的設(shè)置進(jìn)行過(guò)濾。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 除了拒絕的事件之外，允許其它的任何事件。 UDP 和 TCP 包包含了源和目的服務(wù)端口號(hào)。包過(guò)濾防火墻由一組接受或禁止規(guī)則列表組成。 VSS 版本控制是工作組軟件開(kāi)發(fā)中的重要方面，它能防止意外的文件丟失、允許反追蹤到早期版本、并能對(duì)版本進(jìn)行 分支、合并和管理。 能添加刪除規(guī)則。過(guò)濾規(guī)則主要包括：源 IP 地址、子網(wǎng)掩碼、端口號(hào)，目的 IP 地址、子網(wǎng)掩碼、端口號(hào)，協(xié)議，以及對(duì)符合該規(guī)則的數(shù)據(jù)包是放行還是阻止進(jìn)行設(shè)置。用戶通過(guò)添加規(guī)則將規(guī)則存儲(chǔ)于防火墻 的存儲(chǔ)功能模塊中，想要將規(guī)則發(fā)送給 IP過(guò)濾驅(qū)動(dòng)，就需要對(duì)該規(guī)則進(jìn)行安裝。 class CMainFrame:public CFrameWnd { 第 6 頁(yè) 共 21 頁(yè) protected: BOOL Installed。//添加規(guī)則按鈕 afx_msg void OnButtondel()。安裝菜單 afx_msg void OnMenuUninstallRules()。在本程序中 CFireWallDoc 主要用來(lái)存儲(chǔ)用戶添加的規(guī)則，當(dāng)用戶添加規(guī)則或刪除規(guī)則時(shí)，就要向文檔類CFireWallDoc 中寫(xiě)入數(shù)據(jù)；當(dāng)視圖類 CFireWallView 需要將用戶添加的規(guī)則顯示在規(guī)則列表時(shí)，或者將規(guī)則安裝到驅(qū)動(dòng)，就需要從文檔類 CFireWallDoc 中讀取數(shù)據(jù)。 視圖類 CFireWallView 視圖類一般是用來(lái)顯示信息的，在本程序中， CFireWallView 主要用來(lái)在規(guī)則列表中顯示存儲(chǔ)在文檔類 CFireWallDoc 中的規(guī)則。 typedef struct _RuleInfo 第 8 頁(yè) 共 21 頁(yè) { unsigned long sourceIp。 }RuleInfo,*PRuleInfo。//從源 IP 地址編輯框獲取源 IP 地址賦給 srcIp。dstMask)。 srcPort = m_portsource。 rules[nRules].protocol = protocol。 CFireWallDoc *doc = (CFireWallDoc *)GetActiveDocument()。//關(guān)聯(lián)文檔類 docoDeleteRule(position)。 rules[i 1].sourcePort = rules[i].sourcePort。 圖 6 DeleteRule()的調(diào)用 驅(qū)動(dòng)程序設(shè)計(jì) 簡(jiǎn)介 基于 FirewallHook Driver 的包過(guò)濾驅(qū)動(dòng)程序位于核心態(tài)，運(yùn)行效率高，主要用于在 IP 過(guò)濾驅(qū)動(dòng)中攔截所有的網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)過(guò)濾規(guī)則判別是否接收或發(fā)送數(shù)據(jù)包。 圖 7 驅(qū)動(dòng)結(jié)構(gòu)圖 該驅(qū)動(dòng)的優(yōu)點(diǎn) 在 Windows 中這不是開(kāi)發(fā)防火墻的唯一方法，其它的有諸如 NDIS 防火墻，TDI 防火墻， Winsock 分層防火墻，包過(guò)濾 API 等等。 程序初始化時(shí)，調(diào)用 LoadDriver()加載 DrvFltIp 驅(qū)動(dòng)： CMainFrame::OnCreate() { (IpFilterDriver,System32\\Drivers\\,NULL,TRUE)。通過(guò)局域網(wǎng)連接于外部網(wǎng)絡(luò)，可以 PING 通本地網(wǎng)關(guān)地址 和電信 DNS 服務(wù)器地址 ，如圖 8 和圖 9。按照用戶設(shè)置的規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾。 [2] Keith ,Richard [M].北京：機(jī)械工業(yè)出版社 ,2021。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。 特此聲明！ 第 1 頁(yè) 共 59 頁(yè) 畢業(yè)設(shè)計(jì) ( 論文 ) 簡(jiǎn)易 Windows 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 論文作者姓名： 申請(qǐng)學(xué)位專業(yè)： 申請(qǐng)學(xué)位類別： 指導(dǎo)教師姓名（職稱） ： 論文提交日期： 簡(jiǎn)易 Windows 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 摘 要 當(dāng)今時(shí)代是飛速發(fā)展的信息時(shí)代，計(jì)算機(jī)與信息處理技術(shù)日漸成熟。 FilterHook。 本防火墻由以下幾個(gè)模塊組成：過(guò)濾規(guī)則 添加 模塊 ，過(guò)濾規(guī)則顯示模塊，過(guò)濾規(guī)則存儲(chǔ)模塊，文件儲(chǔ)存模塊，安裝卸載規(guī)則模塊， IP 封包過(guò)濾驅(qū)動(dòng)功能模塊 。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。 [6] John C++MFC 編程實(shí)例 [M].北京：機(jī)械工業(yè)出版社 ,2021。在以后的學(xué)習(xí)中隨著自身技術(shù)的提高，我會(huì)進(jìn)一步完善整個(gè)防火墻 ，使它具有更多的功能對(duì)計(jì)算機(jī)安全起到更好的作用。 圖 12 開(kāi)始過(guò)濾圖 由圖 12 可以看出原來(lái)本地計(jì)算機(jī)可以和本地網(wǎng)關(guān)（路由器）進(jìn)行 ICMP 數(shù)據(jù)包收發(fā)，也能和電信 DNS 服務(wù)器進(jìn)行數(shù)據(jù)包收發(fā)。 } AddFilterToFw() { (ADD_FILTER, amp。 這是一種簡(jiǎn)單的方法。 刪除 開(kāi)始 是最后一條規(guī)則？ 后面規(guī)則往前移 刪除 結(jié)束 取得當(dāng)前規(guī)則 否 是 第 14 頁(yè) 共 21 頁(yè) 每個(gè)過(guò)濾函數(shù)可以設(shè)置一個(gè)優(yōu)先級(jí)，系統(tǒng)調(diào)用這些函數(shù)的時(shí)候按照優(yōu)先級(jí)的順序進(jìn)行，直到某個(gè)函數(shù)返回 “ 丟棄包 ” 為止。 rules[i 1].protocol = rules[i].protocol。 for(i = position + 1。 } int position。 } 實(shí)現(xiàn)添加規(guī)則功能的程序流程圖如圖 4。 rules[nRules].sourcePort = srcPort。 else if(m_protocol == ICMP) protocol = 1。 result=i_addr(m_ipdestination, amp。分兩個(gè)步驟： 取得添加規(guī)則對(duì)話框中的數(shù)據(jù)： int result。 unsigned long destinationMask。//在這個(gè)函數(shù)中初始化規(guī)則列表 //}}AFX_VIRTUAL public: void UpdateList()。//添加規(guī)則 void DeleteRule(unsigned int position)。//保存規(guī)則菜單 afx_msg void OnMenuLoadRules()。//安裝規(guī)則 afx_msg void OnButtonuninstall()。// protected: BOOL AddFilterToFw()。應(yīng)用程序類構(gòu)成了應(yīng)用程序的主執(zhí)行線程，它 封裝了一個(gè) Windows 應(yīng)用程序的初始化、運(yùn)行和終止。如：安裝規(guī)則，則把用 戶選擇的規(guī)則安裝到 IP過(guò)濾驅(qū)動(dòng)， IP 接收到此規(guī)則后按照此規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾。 設(shè)計(jì)思路 根據(jù)程序的需求來(lái)完成功能和模塊化設(shè)計(jì)的思想，總體設(shè)計(jì)思路如下 ： 任何程序都必須具有和用戶進(jìn)行信息交互的功能，因此用戶接口部必須考慮，根據(jù)功能要求，該部分應(yīng)具備：用戶操作的功能菜單、能對(duì)過(guò)濾規(guī)則進(jìn)行設(shè)置、顯示規(guī)則界面、添加規(guī)則界面。在提倡文件再使用的今天，用戶可以同時(shí)在文件和項(xiàng)目級(jí)進(jìn) 行工作。 包過(guò)濾功能是所有的防火墻都具備的一個(gè)基本功能 ,實(shí)際上防火墻要完成的功能從根本上來(lái)說(shuō) ,就 是要按照用戶的要求來(lái)控制網(wǎng)絡(luò)所流通的數(shù)據(jù)包 ,屏蔽那些無(wú)益的連接。顧名思義，包過(guò)濾在路由過(guò)程中對(duì)指定包進(jìn)行過(guò)濾（丟棄）。 Linux中包含的 IP防火墻機(jī)制 3種 IP消息類型 :ICMP(Inter控制 消息協(xié)議 )、 UDP(用戶數(shù)據(jù)報(bào)協(xié)議 )和 TCP(傳輸控制協(xié)議 )。在建立服務(wù)訪問(wèn)政策時(shí)，需要注意兩個(gè)方式： 不允許從 Inter 上訪問(wèn)到用戶的網(wǎng)絡(luò)，但是允許個(gè)別用戶（設(shè)定得到）的網(wǎng)絡(luò)訪問(wèn)有限 Inter 站點(diǎn)。 2 防火墻概述 防火墻的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。防火墻是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一安全通道，簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)，它可以在 IP 層設(shè)置屏障，也可以用應(yīng)用軟件來(lái)阻止外來(lái)攻擊。本 設(shè)計(jì)實(shí)現(xiàn)的防火墻采用 IP 過(guò)濾鉤子驅(qū)動(dòng)技術(shù)，過(guò)濾鉤子驅(qū)動(dòng)是內(nèi)核模式驅(qū)動(dòng)，它實(shí)現(xiàn)一個(gè)鉤 子過(guò)濾回調(diào)函數(shù)，并用系統(tǒng)提供的 IP 過(guò)濾驅(qū)動(dòng)注冊(cè)它， IP 過(guò)濾驅(qū)動(dòng)隨后使用這個(gè)過(guò)濾鉤子來(lái)決定如何處理進(jìn)出 系統(tǒng) 的數(shù)據(jù)包。 本防火墻由以下幾個(gè)模塊組成：過(guò)濾規(guī)則 添加 模塊，過(guò)濾規(guī)則顯示模塊，過(guò)濾規(guī)則存儲(chǔ)模塊，文件儲(chǔ)存模塊，安裝卸載規(guī)則模塊， IP 封包過(guò)濾驅(qū)動(dòng)功能模塊 。通過(guò)制定相應(yīng)的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進(jìn)入，同時(shí)將不符合條件的數(shù)據(jù)拒之門外，這樣就可以阻止非法用戶的侵入，保證內(nèi)部網(wǎng)絡(luò)的安全。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息 、 結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。但必須進(jìn)行地址偽裝； 允許有限的從 Inter 上訪問(wèn)到公司網(wǎng)絡(luò)，如從 Inter 上只能訪問(wèn)公司的 WWW 和 FTP 服務(wù)器。所有的 IP 包頭包含了源、目的 IP 地址、IP 協(xié)議消息類型。對(duì)過(guò)濾的判斷通?；趩蝹€(gè)包的頭部所包含的內(nèi)容（例如源地址，目的地址，協(xié)議，端口等） 。 3 開(kāi)發(fā)工具 Visual C++ Visual C++ 是微軟 98 年推出的產(chǎn)品，它提供了強(qiáng)大的編譯能力以及良好的界面操作性。 Visual SourceSafe 面向項(xiàng)目的特性能更有效地管理工作組應(yīng)用程序開(kāi)發(fā)工作中的日常任務(wù) 。 這樣程序的功能模塊應(yīng)該有：過(guò)濾規(guī)則添加刪除功能模塊，過(guò)濾規(guī)則顯示功能模塊，過(guò)濾規(guī)則存儲(chǔ)功能模塊，文件儲(chǔ)存功能模塊，安裝卸載規(guī)則功能模塊。 文件存儲(chǔ)功能模塊 使用戶添加的過(guò)濾規(guī)則能夠保存成文件的形式方便儲(chǔ)存，在用戶添加規(guī)則后可以選擇某一條規(guī)則進(jìn)行保存，防火墻會(huì)將該規(guī)則保存為后綴名為 .rul 的文件，在下次打開(kāi)防火墻的時(shí)候可以直接加載該規(guī)則。 主框架類 CMainFrame 主框架類 CMainFrame 構(gòu)成整個(gè)程序的框架，包括菜單、工具、按鈕等。//AddFilterToFw 完成將過(guò)濾鉤子安裝到防火墻的功能。//卸載規(guī)則 afx_msg void OnMenuAddRule()。//加載規(guī)則菜單 //}}AFX_MSG }。//刪除規(guī)則 void ResetRules()。//更新規(guī)則列表，和 Doc 文檔類保持一致 protected: void AddRuleToList()。 unsigned short destinationPort。 UpdateData(TRUE)。dstIp)。 第 10 頁(yè) 共 21 頁(yè) else if(m_protocol == 所有 ) protocol = 0。 rules[nRules].destinationIp = dstIp。 第 11