【正文】 the fourth kind of violence iswhen any one, regardless of the author ity of the rulers, takes orcarries away or makes use of anything which belongs to them, nothaving their consent。s without the consent of theowner。 the admiration of fools。s self hath any perfection. For saith Pliny very wittily。s memory。 there are sometimes great effects of cross lies。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。s diversion, namely, the wild hunt to Amack. Ah, you don39。 特此聲明！ 作者簽名： 2020 年 06 月 日 第 21 頁 共 20 頁 54 Of Vainglory It was prettily devised of Aesop。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書而使用過的材料。 再次感謝學(xué)院領(lǐng)導(dǎo)的指導(dǎo)和關(guān)心，在資格審查中，感謝各位老師對(duì)我的前期成果提出意見，指出不足，以便我改進(jìn)。 第 18 頁 共 20 頁 [7] 謝希仁 著 .計(jì)算機(jī)網(wǎng)絡(luò) [M].北京： 電子 工業(yè)出版社 .2020。 [3] 黎連業(yè) ,張維 , 向東明 著 防火墻及其應(yīng)用技術(shù) [M].北京：清華大學(xué)出版 .2020。 由于畢業(yè)設(shè)計(jì)時(shí)間短暫， 本設(shè)計(jì)還有很多需要改進(jìn)的 地方， 將 在今后的工作中繼續(xù)完善該軟件系統(tǒng)。本課題采用 FilterHook Driver 技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)簡單的包過濾防火墻，基本實(shí)現(xiàn)了用戶 自動(dòng) 添加、刪除過濾規(guī)則，并能按用戶提供的過濾規(guī)則實(shí)現(xiàn)數(shù)據(jù)包的過濾等功能 。 i++) { (amp。 第 17 頁 共 20 頁 if(() == IDCANCEL) return。 } 文件存儲(chǔ) Firewall 程序可以將用戶添加的過濾規(guī)則保存到以 rul 為后綴的文件中。pf, sizeof(pf), NULL, 0)。(pDocm_rules[i]), sizeof(CIPFilter))。 ipDocm_nRules。以下是主要代碼： void CMainFrame::OnRulesInstall() // 安裝過濾條件 { // 首先清除過濾條件 m_pFilterDrvIoControl(CLEAR_FILTER, NULL, 0, NULL, 0)。 } m_bStarted = TRUE。 } 開始過濾和停止過濾 要開始或者停止過濾，只需要向 IP 過濾鉤子發(fā)送設(shè)備控制代碼 START_IP_HOOK 或STOP_IP_HOOK。 } m_bStarted = FALSE。p)。 m_pIPFltDrvStartDriver()。其在初始化時(shí)加載 IP 過濾驅(qū)動(dòng)和 IP 過濾鉤子驅(qū)動(dòng)，下面是相關(guān)主要代碼： // 文件 class CMainFrame : public CFrameWnd {?? public: CDriver* m_pIPFltDrv。如果是對(duì)象，前綴用對(duì)象的名稱，第一個(gè)字母大寫 主要的類 CAboutDlg 類：主窗口類，從 CDialog 類派生 CFirewallApp 類：主應(yīng)用程序類，從 CWinApp 類派生，它擁有文檔模板對(duì)象，指向主窗口的指針 m_pMainWnd CFirewallDoc 類：從 CDocument 類派生的文檔類，它處理應(yīng)用程序的使用的數(shù)據(jù)，保存了與之相關(guān)的視圖列表 CFirewallView 類：從 CFormView 類（間接從 CWiew 類派生）派生的視圖類，它在文檔和用戶之間充當(dāng)中介；視圖在屏幕 上顯示文檔數(shù)據(jù)，并將用戶輸入解釋為對(duì)文檔的操作。在“協(xié)議”的下拉菜單中有“所有”、“ TCP”“ UDP”“ ICMP”四個(gè)選項(xiàng)供用戶選擇。單擊“安裝規(guī)則”按鈕可以把用戶添加的規(guī)則加載到過濾驅(qū)動(dòng)鉤子驅(qū)動(dòng)程序，單擊“卸載規(guī)則”按鈕則可以把所加載的過濾規(guī)則全部卸載。 是否 符合 UDP 規(guī)則 是否 符合 ICMP 規(guī)則 處理 ICMP 規(guī)則 取下一條規(guī)則 Y 是否 符合 IP 規(guī)則 拷貝 packet 的內(nèi)容到共享內(nèi)存區(qū) 處理 IP 規(guī)則 取下一條規(guī) 則 Y N N 是否 符合 TCP 規(guī)則 處理 TCP 規(guī)則 取下一條規(guī)則 處理 UDP 規(guī)則 取下一條規(guī)則 Y Y N N 結(jié)束 開始 第 12 頁 共 20 頁 界面設(shè)計(jì) 此模塊工程是一個(gè)基于對(duì)話框的 MFC 應(yīng)用程序。系統(tǒng)將根據(jù)對(duì)比過濾規(guī)則 鏈表里的規(guī)則來決定如何處理封包。具體功能實(shí)現(xiàn)由自定義函數(shù) AddFilterToList來實(shí)現(xiàn)。 Stuct CFilterList {CIPFILTER ipf。 一旦當(dāng)前的 I/O 控制請(qǐng)求完成后 ， 設(shè)備控制例程調(diào)用 IoCompleteRequest 函數(shù)并且傳遞其操作狀態(tài) ， 這個(gè)狀態(tài)已經(jīng)返回給先前發(fā)送請(qǐng)求的應(yīng)用程序或高層驅(qū)動(dòng)程序 。 過濾器鉤子的 I/O 控制 當(dāng)應(yīng)用程序或者上層驅(qū)動(dòng)程序通過向過濾器鉤子驅(qū)動(dòng)程序發(fā)送 I/O 控制請(qǐng)求建立過濾器鉤子時(shí) ， 驅(qū)動(dòng)程序自動(dòng)會(huì)響應(yīng)函數(shù)代 碼為 IRP_MJ_DEVICE_CONTROL的 Dispatch例程 。 過濾器驅(qū)動(dòng)清除它的過濾鉤子，是通過先前注 冊過濾鉤子的口來實(shí)現(xiàn)的，因此過濾鉤子驅(qū)動(dòng)應(yīng)該保存指向 IP 過濾器驅(qū)動(dòng)的文件和設(shè)備對(duì)象的指針，也就是說，只有在過濾器鉤子驅(qū)動(dòng)從 IP 過濾器驅(qū)動(dòng)清除它的過濾器鉤子以后，過濾器鉤子驅(qū)動(dòng)程序才能調(diào)用ObDereferenceObject 函數(shù)減小 IP 過濾器驅(qū)動(dòng)的文件和設(shè)備對(duì)象的指針引用計(jì)數(shù)。借助 I/O 堆棧位置（根據(jù)已提供的參數(shù)設(shè)置），這次調(diào)用過程給 IRP 返回指針。 PIRP IoBuildDeviceIoControlRequest( IN ULONG IoControlCode, IN PDEVICE_OBJECT DeviceObject, 第 9 頁 共 20 頁 IN PVOID InputBuffer OPTIONAL, IN ULONG InputBuffer Length, OUT PVOID OutputBuffer OPTIONAL, IN ULONG OutputBufferLength, IN BOOLEAN InternalDeviceIoControl, IN PKEVENT Event, OUT PIO_STATUS_BLOCJ IoStatusBlock )。 //指定設(shè)備對(duì)象名稱 IN ACCESS_MASK DesireAccess。過濾器鉤子有可能清除先前注冊的鉤子回調(diào)。 其次，在過濾器鉤子檢測完數(shù)據(jù)包后，回復(fù)響應(yīng)代碼 PF_FORWARD,PF_DROP 或 PF_PASS給 IP 過濾器驅(qū)動(dòng)，通知 IP 過濾器驅(qū)動(dòng)如何處理數(shù)據(jù)包 。 由于過濾器驅(qū)動(dòng)程序不是提供 過濾器鉤子入口點(diǎn)的名稱，所以開發(fā)人員可以自由選擇過濾器鉤子名稱 。 //目的端口號(hào) USHORT len。 //窗口大小 USHORT checksum。 //seq 序號(hào) ULONG acknowledgeeNumber。 Packet 參數(shù)指向去掉 IP 頭之后的數(shù)據(jù)報(bào)，開頭是一個(gè) TCP 頭、 UDP 頭、 ICMP 頭，這都需要根據(jù) IP 頭的 ipProtocol 域確定。 //協(xié)議，其中 TCP（ 6）、 UDP（ 17）、 ICMP（ 1） USHORT ipChecksum。 //封包 總長度，即整個(gè) IP 報(bào)的長度 USHORT ipID。 PacketHearder 參數(shù)指向的數(shù)據(jù)通常定義為 IPHearder 結(jié)構(gòu)，它提供了封包的詳細(xì)信息。 在圖 2 中說明了過濾鉤子驅(qū)動(dòng)程序的流程結(jié)構(gòu)，這就給我們提供了攔截網(wǎng)絡(luò)數(shù)據(jù)包的基本思路。回調(diào)函數(shù)是這類驅(qū)程的主體部分。 顧名思義就是 IP 過濾驅(qū)動(dòng)，對(duì)應(yīng) 系統(tǒng)目錄下 文件。其實(shí) FilterHook Drive 并不是一種新的網(wǎng)絡(luò)驅(qū)動(dòng)類型，它 僅僅是 IP Filter Driver（包括Windows2020 和以后版本）在功能上的擴(kuò)展 。主要有以下五個(gè)步驟： ① 建立內(nèi)核模式驅(qū)動(dòng) FilterHook Drive； ② 取得指向 IP Filter Driver 的指針； IP 過濾驅(qū)動(dòng)程序 網(wǎng)絡(luò)適配器驅(qū)動(dòng)程序 網(wǎng)絡(luò)適配器 用戶界面程序 過濾鉤子驅(qū)動(dòng)程序 第 5 頁 共 20 頁 ③ 利用步驟 2 得到的指針，發(fā)送特殊的 IRP 來安裝過濾函數(shù)； ④ 過濾數(shù)據(jù)； ⑤ 結(jié)束過濾，撤消過濾函數(shù)。而利用驅(qū)動(dòng)程序來攔截?cái)?shù)據(jù)包，雖然功能很強(qiáng)大，但實(shí)現(xiàn)起來比較困難。但后來發(fā)現(xiàn)其主要功能在于獨(dú)立于主機(jī)協(xié) 議（如 TCP/IP） 而發(fā)送 和 接收原始數(shù)據(jù)。從這點(diǎn)上講 ， MFC 極大地加快了 程序開發(fā)速度。必要時(shí)，可以直接調(diào)用標(biāo)準(zhǔn) C 函數(shù)，因?yàn)?MFC 不修改也不隱藏 Windows 程序的基本結(jié)構(gòu)。 MFC 也會(huì)得到擴(kuò)展，添加新的特性， 變得更加容易建立應(yīng)用程序。到目前為止，絕大多數(shù) Windows 應(yīng)用程序都是用 Visual C++ ， Visual C++ Windows 環(huán)境下進(jìn)行大型軟件開發(fā)的首選。 Visual C++不僅僅是一個(gè)編譯器， 它是一個(gè)全面的應(yīng)用程序開發(fā)環(huán)境，使用它你 可以 充分利用具有面向?qū)ο筇匦缘?C++來開發(fā)出專業(yè)級(jí)的 Windows應(yīng)用程序 。 例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與 Inter的直接連接。應(yīng)用程序網(wǎng)關(guān)會(huì)監(jiān)視所有的傳輸，根據(jù)規(guī)則決定是否轉(zhuǎn)發(fā)他們。網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)可以屏蔽內(nèi)部網(wǎng)絡(luò)的 IP 地址，使網(wǎng)絡(luò)結(jié)構(gòu)對(duì)外部來講是不可見的。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所有服務(wù)都完全被封鎖住。防火墻的工作就是把這些信息讀取出來，再根據(jù)用戶自定義的規(guī)則來進(jìn)行過濾。用戶可以根據(jù)自己的情況來設(shè)置訪問規(guī)則實(shí)現(xiàn)對(duì)所有訪問的控制，用來達(dá)到對(duì)安全的保證。人們 享受 著互連網(wǎng)帶來的種種方便，同時(shí)也 面臨 著 Inter的開放帶來的關(guān)于數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：企事業(yè)單位商業(yè)機(jī)密的泄露，個(gè)人隱私以及私秘信息的竊取。 過濾鉤子驅(qū)動(dòng)程序完成 一個(gè)過濾鉤子回調(diào)函數(shù)并在系統(tǒng)提供的 IP 過濾驅(qū)動(dòng)程序中注冊這個(gè)回調(diào)函數(shù)。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙；對(duì)主機(jī)大量發(fā)送 IP 數(shù)據(jù)包進(jìn)行轟炸攻擊，使之崩潰；以及藍(lán)屏攻擊等。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主機(jī)之間的安全通信，也不能 很好的解決每一個(gè)撥號(hào)用戶所在主機(jī)的安全問題，而大多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。雖然從理論上看 ,防火墻處于網(wǎng)絡(luò)安全的最底層 ,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸 ,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化 ,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務(wù) ,同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 國內(nèi)外研究現(xiàn)狀 自從 1986 年美國 Digital 公司在 Inter 上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。但凡事有利必有一弊，隨著對(duì)網(wǎng)絡(luò)的依賴越來越大，網(wǎng)絡(luò)安全問題也越來越明顯。 callback function 目 錄 論文總頁數(shù)： 20頁 1 引言 ................................................................... 1 課題背景 ...........................................................