【文章內(nèi)容簡介】 定的策略是由一條條規(guī)則構(gòu)成的，防火墻的規(guī)則可分為三條鏈：輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈。 包過濾防火墻 數(shù)據(jù)包 數(shù)據(jù)包是指 IP 網(wǎng)絡(luò)消息。 IP 標(biāo)準(zhǔn)定義了在網(wǎng)上兩臺計算機之間發(fā)送的消息的結(jié)構(gòu) .結(jié)構(gòu)上 ,一個包包含了一個信息頭和應(yīng)被傳送數(shù)據(jù)的一段消息體。 Linux中包含的 IP防火墻機制 3種 IP消息類型 :ICMP(Inter控制消息協(xié)議 )、 UDP(用戶數(shù)據(jù)報協(xié)議 )和 TCP(傳輸控制協(xié)議 )。所有的 IP 包頭包含了源、目的 IP 地址、IP 協(xié)議消息類型。包頭里根據(jù)協(xié)議類型還包括了不同的字段。 ICMP 數(shù)據(jù)包包含了一個類型字段 ,用來標(biāo)識控制或狀態(tài)消息類型。 UDP 和 TCP 包包含了源和目的服務(wù)端口號。 包過濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的 TCP 端口號和 TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。 因為路由器通常分布在有不同安全需求和安全策略的網(wǎng)絡(luò)的交界 處，因此可以通過在路由器上使用包過濾在可能的情況下實現(xiàn)只允許授權(quán)網(wǎng)絡(luò)的數(shù)據(jù)進入。在這些路由器上使用包過濾師一種比較經(jīng)濟的在現(xiàn)有路由基礎(chǔ)結(jié)構(gòu)上增加防火墻功能的機制。顧名思義，包過濾在路由過程中對指定包進行過濾（丟棄）。對過濾的判斷通?；趩蝹€包的頭部所包含的內(nèi)容（例如源地址，目的地址，協(xié)議，端口等） 。 第 3 頁 共 21 頁 包過濾防火墻通常在操作系統(tǒng)內(nèi)部實現(xiàn)，并且操作在 IP 網(wǎng)絡(luò)和傳輸協(xié)議層。它在對基于 IP 包頭信息實施過濾后，通過對包的路由作決策來保護系統(tǒng)。包過濾防火墻由一組接受或禁止規(guī)則列表組成。這些規(guī)則明確定義了哪個包將被允許或 不允許通過網(wǎng)絡(luò)接口。防火墻規(guī)則使用在上面描述的包頭字段來決定是否允許路由一個包通過，以達到它的目的，或則無聲息的將包丟棄掉，或阻止包并向它的發(fā)送機器返回一個錯誤狀態(tài)。這些規(guī)則是基于特定的網(wǎng)絡(luò)接口卡和主機 IP 地址、網(wǎng)絡(luò)層源和目的 IP 地址、傳輸層 TCP 和 UDP 服務(wù)端口、 TCP 連接標(biāo)志、網(wǎng)絡(luò)層 ICMP 消息類型及這些包是進入的還是發(fā)出的。 包過濾功能是所有的防火墻都具備的一個基本功能 ,實際上防火墻要完成的功能從根本上來說 ,就是要按照用戶的要求來控制網(wǎng)絡(luò)所流通的數(shù)據(jù)包 ,屏蔽那些無益的連接。 3 開發(fā)工具 Visual C++ Visual C++ 是微軟 98 年推出的產(chǎn)品，它提供了強大的編譯能力以及良好的界面操作性。能夠?qū)?Windows 9x、 Windows NT 以及 Windows 2021 下的 C++程序設(shè)計提供完善的編程環(huán)境。同時 Visual C++ 對網(wǎng)絡(luò)、數(shù)據(jù)庫等方面的編程也都提供相應(yīng)的環(huán)境支持。 VSS 版本控制是工作組軟件開發(fā)中的重要方面，它能防止意外的文件丟失、允許反追蹤到早期版本、并能對版本進行分支、合并和管理。在軟件開發(fā)和您需要比較兩種版本的文件或找回早期版本的文件時，源代碼的控制是 非常有用的。 VSS 可以同 Visual Basic、 Visual C++、 Visual J++、 Visual InterDev、 Visual FoxPro 開發(fā)環(huán)境以及 Microsoft Office 應(yīng)用程序集成在一起，提供了方便易用、面向項目的版本控制功能。 Visual SourceSafe 可以處理由各種開發(fā)語言、創(chuàng)作工具或應(yīng)用程序所創(chuàng)建的任何文件類型。在提倡文件再使用的今天，用戶可以同時在文件和項目級進行工作。 Visual SourceSafe 面向項目的特性能更有效地管理工作組應(yīng)用程序開發(fā)工 作中的日常任務(wù) 。 4 防火墻系統(tǒng)構(gòu)成 需求分析 該防火墻的主要功能是實現(xiàn)包過濾，其他功能主要包括以下幾個方面。 能設(shè)置過濾規(guī)則，包括： IP 地址、子網(wǎng)掩碼、端口號、協(xié)議。 能添加刪除規(guī)則。 能將過濾規(guī)則保存。 能對過濾規(guī)則進行安裝和卸載操作，即：將規(guī)則發(fā)送給 IP 過濾驅(qū)動或從 第 4 頁 共 21 頁 IP 過濾驅(qū)動中刪除規(guī)則。 能正確完整的顯示所添加的過濾規(guī)則。 設(shè)計思路 根據(jù)程序的需求來完成功能和模塊化設(shè)計的思想，總體設(shè)計思路如下： 任何程序都必須具有和用戶進行信息交互的功能，因此用戶接口部必須考慮，根據(jù)功能要求，該部分 應(yīng)具備：用戶操作的功能菜單、能對過濾規(guī)則進行設(shè)置、顯示規(guī)則界面、添加規(guī)則界面。 這樣程序的功能模塊應(yīng)該有：過濾規(guī)則添加刪除功能模塊，過濾規(guī)則顯示功能模塊，過濾規(guī)則存儲功能模塊，文件儲存功能模塊，安裝卸載規(guī)則功能模塊。 功能模塊構(gòu)成 功能模塊構(gòu)成如圖 1。 圖 1 功能模塊 圖 功能模塊介紹 過濾規(guī)則添加刪除功能模塊 包過濾防火墻要進行數(shù)據(jù)包過濾就需要按照用戶定義的規(guī)則進行包過濾，該功能模塊就是使用戶能夠添加或刪除過濾規(guī)則。過濾規(guī)則主要包括：源 IP 地址 、子網(wǎng)掩碼、端口號，目的 IP 地址、子網(wǎng)掩碼、端口號，協(xié)議，以及對符合該規(guī)則的數(shù)據(jù)包是放行還是阻止進行設(shè)置。然后將設(shè)置好的規(guī)則添加到存儲功能模塊。 過濾規(guī)則顯示功能模塊 該功能用于顯示用戶添加的規(guī)則，能夠?qū)γ恳粭l規(guī)則進行刪除、安裝、卸載包過濾防火墻 過濾規(guī)則添加刪除功能模塊 過濾規(guī)則顯示功能模塊 過濾規(guī)則存儲功能模塊 文件儲存功能模塊 文件載入功能模塊 安裝卸載功能模塊 IP封包過濾驅(qū)動功能模塊 第 5 頁 共 21 頁 的操作，使防火墻過濾規(guī)則能夠很詳細的顯示給用戶 。 過濾規(guī)則存儲功能模塊 該功能用于存儲用戶添加的過濾規(guī)則，接受用戶對每一條規(guī)則的操作，并按照用戶的操作將規(guī)則進行處理。如：安裝規(guī)則，則把用戶選擇的規(guī)則安裝到 IP過濾驅(qū)動， IP 接收到此規(guī)則后按照此規(guī)則進行數(shù)據(jù)包過濾。 文件存儲功能模 塊 使用戶添加的過濾規(guī)則能夠保存成文件的形式方便儲存，在用戶添加規(guī)則后可以選擇某一條規(guī)則進行保存，防火墻會將該規(guī)則保存為后綴名為 .rul 的 文件，在下次打開防火墻的時候可以直接加載該規(guī)則。 文件載入功能模塊 相對于文件儲存功能模塊，該功能是實現(xiàn)用戶可以導(dǎo)入一個后綴名為 .rul的并且保存了有效規(guī)則的文件。 安裝卸載功能摸塊 防火墻要過濾數(shù)據(jù)包，就需要將 IP 過濾驅(qū)動按照定義的規(guī)則進行過濾。用戶通過添加規(guī)則將規(guī)則存儲于防火墻的存儲功能模塊中，想要將規(guī)則發(fā)送給 IP過濾驅(qū)動，就需要對該規(guī)則進行安裝。安裝和卸載的功能就是 將過濾規(guī)則傳送給IP 過濾驅(qū)動或是將已安裝的規(guī)則從過濾驅(qū)動中刪除。 IP 封包過濾驅(qū)動功能模塊 該功能模塊是整個包過濾防火墻的核心部分， IP 封包過濾驅(qū)動能按照用戶定義的規(guī)則對數(shù)據(jù)包做出阻止或是放行的選擇。 5 防火墻設(shè)計 程序關(guān)鍵類 應(yīng)用程序類 CFireWallAPP 每個 MFC 應(yīng)用程序都必須包括一個從 CWinApp 派生的應(yīng)用程序類，在本程序中的應(yīng)用程序類就是 CFireWAllApp。應(yīng)用程序類構(gòu)成了應(yīng)用程序的主執(zhí)行線程，它封裝了一個 Windows 應(yīng)用程序的初始化、運行和終止。 主框架類 CMainFrame 主框架 類 CMainFrame 構(gòu)成整個程序的框架，包括菜單、工具、按鈕等。它構(gòu)成了程序功能的主框架。下面列出了 CmainFrame 類中的主要方法和變量。 class CMainFrame:public CFrameWnd { 第 6 頁 共 21 頁 protected: BOOL Installed。//規(guī)則安裝標(biāo)志 TRUE已安裝， FALSE未安裝 protected: BOOL started。//開始過濾的標(biāo)志， TRUE已開始， FALSE未開始 TDriver filterDriver。//定義一個 TDriver 類的 變量， TDriver ipFltDrv。// protected: BOOL AddFilterToFw()。//AddFilterToFw 完成將過濾鉤子安裝到防火墻的功能。 //{{AFX_MSG(CMainFrame) afx_msg void OnAppExit()。//退出程序 afx_msg void OnButtonadd()。//添加規(guī)則按鈕 afx_msg void OnButtondel()。//刪除規(guī)則按鈕 afx_msg void OnButtonstart()。//開始過濾按鈕 afx_msg void OnButtonstop()。//停止過濾按鈕 afx_msg void OnButtonInstall()。//安裝規(guī)則 afx_msg void OnButtonuninstall()。//卸載規(guī)則 afx_msg void OnMenuAddRule()。//添加規(guī)則菜單 afx_msg void OnMenuDelRule()。//刪除規(guī)則菜單 afx_msg void OnMenuInstallRules()。安裝菜單 afx_msg void OnMenuUninstallRules()。//卸載規(guī)則菜單 afx_msg void OnMenuStart()。//開始過濾菜單 afx_msg void OnMenuStop()。//停止過濾菜單 afx_msg void OnMenuSaveRules()。//保存規(guī)則菜單 afx_msg void OnMenuLoadRules()。//加載規(guī)則菜單 //}}AFX_MSG }。 在主框架類 CMainFrame 中定義了應(yīng)用程序的所有基本功能。 文檔類 CFireWallDoc MFC 程 序中的文檔類是用來存儲數(shù)據(jù)變量的。在本程序中 CFireWallDoc 主要用來