【正文】 Filter Driver。 it’s driven through the kernel mode, the filterhook callback function has been implemented and the filterhook driver is registered by the IP filter driver which is provided by system. The IP filter driver uses the filterhook to handle the data packets in and out. The firewall is posed of the following modules: adding filter rules module, display filter rules module, storage filter rules module, storage file module, installation and unloading rules module, IP packet driver module. Users can finish the operation by using main menu and button and protect the system effectively. Key words: Firewall。 用戶只需要通過(guò)主界面菜單和按鈕就可以靈活 地操作防火墻 ，有效 地保護(hù) Windows 系統(tǒng) 的 安全。本 設(shè)計(jì)實(shí)現(xiàn)的防火墻采用 IP 過(guò)濾鉤子驅(qū)動(dòng)技術(shù)，過(guò)濾鉤子驅(qū)動(dòng)是內(nèi)核模式驅(qū)動(dòng)，它實(shí)現(xiàn)一個(gè)鉤子過(guò)濾回調(diào)函數(shù)，并用系統(tǒng)提供的 IP 過(guò)濾驅(qū)動(dòng)注冊(cè)它， IP 過(guò)濾驅(qū)動(dòng)隨后使用這個(gè)過(guò)濾鉤子來(lái)決定如何處理進(jìn)出 系統(tǒng) 的數(shù)據(jù)包。隨著Inter 和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展， 網(wǎng)絡(luò)安全問(wèn)題現(xiàn)在已經(jīng)得到普遍重視。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。 （ 2）學(xué)?？梢圆捎糜坝　⒖s印或其他復(fù)制方式保存學(xué)位論文。除非另有說(shuō)明，本文的工作是原始性工作。在此向他表示我最衷心的感謝！ 在論文完成過(guò)程中，本人還得到了王守兵同學(xué)的熱心幫助，本人向他們表示深深的謝意！ 最后向在百忙之中評(píng)審本文的各位專家、老師表示衷心的感謝！ 作者簡(jiǎn)介： 姓 名：劉鐘 性別： 男 出生年月： 1982 年 3 月 民族 ： 漢 Email: 聲 明 本論文的工作是 2021年 2月至 2021年 6月在成都信息工程學(xué)院網(wǎng)絡(luò)工程系完成的。 [7] 張海棠 .Visual C++ 編程指南 [M].北京：航空工業(yè)出版社 ,2021。 [5] Steven C++ 輕松進(jìn)階 [M].北京：電子工業(yè)出版社 ,2021。 [3] 朱雁輝 .Windows 防火墻與網(wǎng)絡(luò)封包截獲技術(shù) [M].北京：電子工業(yè)出版社 ,2021。 參考文獻(xiàn) [1] 張?jiān)?.Visual C++網(wǎng)絡(luò)程序設(shè)計(jì)實(shí)例詳解 [M].北京：人民郵電出版社 ,2021。 通過(guò)這次畢業(yè)設(shè)計(jì)的編程，使我對(duì)網(wǎng)絡(luò)編程和防火墻技術(shù)有了新的認(rèn)識(shí)，同時(shí)我也對(duì) VC++這一編程語(yǔ)言有了更深的了解。相對(duì)于互聯(lián)網(wǎng)上的知名防火墻相比整個(gè)防火墻還不成熟，但它具有操作簡(jiǎn)單明了的特點(diǎn)。能運(yùn)行于 Windows 系統(tǒng)，屏蔽不安全的站點(diǎn)、對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾，在一定程度上提高了系統(tǒng)的安全性，可有效的防止計(jì)算機(jī)受到外部網(wǎng)絡(luò)攻擊。 結(jié) 論 此防火墻操作簡(jiǎn)單，能夠?qū)崿F(xiàn)包過(guò)濾功能。而當(dāng)防火墻設(shè)置為過(guò)濾源地址為 、協(xié)議為 ICMP 的規(guī)則之后運(yùn)行，本地計(jì)算機(jī)將不能和本地網(wǎng)關(guān)（路由器）進(jìn)行數(shù)據(jù)包收發(fā)， PING 命令顯示為“ Request timed out”。 圖 11 規(guī)則示圖 第 18 頁(yè) 共 21 頁(yè) 點(diǎn)擊“安裝”防火墻將過(guò)濾規(guī)則添加到過(guò)濾驅(qū)動(dòng)，點(diǎn)擊“開始”防火墻開始按照規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾，如圖 12。 圖 8 PING 圖 9 Ping 運(yùn)行防火墻，點(diǎn)擊“添加”按鈕進(jìn)行過(guò)濾規(guī)則設(shè)置，如圖 10。 第 16 頁(yè) 共 21 頁(yè) } 6 程序測(cè)試 計(jì)算機(jī)位于網(wǎng)關(guān)地址為 的局域網(wǎng)內(nèi)，本地 IP 地址為： 。pf, sizeof(pf))。 } 當(dāng)用戶 單擊 “ 安裝規(guī)則 ” 按鈕時(shí)，程序向驅(qū)動(dòng)發(fā)送 ADD_FILTER 控制代碼 : CMainFrame::OnButtonInstall() { AddFilterToFw()。 } 當(dāng)用戶單擊 “ 開始過(guò)濾 ” 按鈕時(shí)，程序向驅(qū)動(dòng)發(fā)送 START_IP_HOOK 控制代碼，開始過(guò)濾： CMainFrame::OnButtonstart() { (START_IP_HOOK,NULL,0)。 本程序的驅(qū)動(dòng)設(shè)計(jì) 本程序驅(qū)動(dòng)的設(shè)計(jì)核心是通過(guò)使用 TDriver 類向 DrvFltIp 驅(qū)動(dòng)程序發(fā)送控制代碼（ START_IP_HOOK、 STOP_IP_HOOK、 ADD_FILTER、 CLEAR_FILTER）， 第 15 頁(yè) 共 21 頁(yè) 達(dá)到實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾的目的。安裝防火墻和執(zhí)行過(guò)濾功能非常簡(jiǎn)單。需要用 NDIS 過(guò)濾器來(lái)做。而 FilterHook Driver 的優(yōu)點(diǎn)在于： 這種方法所擁有的彈性可以使你過(guò)濾所有 IP 層（或以上）的通訊。 結(jié)構(gòu)圖 驅(qū)動(dòng)程 序結(jié)構(gòu)如圖 7。如果所有的過(guò)濾函數(shù)都返回 “ 允許包 ” ，那么這個(gè)包才能順利通過(guò)系統(tǒng)。卸載過(guò)濾函數(shù)的時(shí)候只用把 Add 設(shè)置為FALSE 就行了，其他參數(shù)和安裝時(shí)一樣。同時(shí)處理上層應(yīng)用程序發(fā)送的 IRP，接收應(yīng)用程序發(fā)送的過(guò)濾規(guī)則等。 } DeleteRule()調(diào)用的流程圖如圖 6。 rules[i 1].action = rules[i].action。 rules[i 1].destinationPort = rules[i].destinationPort。 rules[i 1].destinationIp = rules[i].destinationIp。 rules[i 1].sourceMask = rules[i].sourceMask。inRules。 if(position != nRules 1)//如果刪除的規(guī)則不是最后一條，則將它刪除后，后面的規(guī)則要往前移動(dòng) { unsigned int i。//調(diào)用 DeleteRule()函數(shù)刪除規(guī)則 viewUpdateList()。 圖 5 刪除規(guī)則 流程圖 其中 調(diào)用 DeleteRule()的代碼為： CFireWallDoc *doco = (CFireWallDoc *)GetActiveDocument()。 position = view(pos)。 (請(qǐng)先停止過(guò)濾 )。 POSITION pos = view()。 刪除規(guī)則： void CMainFrame::OnButtondel() { CFireWallView *view = (CFireWallView *)GetActiveView()。 第 11 頁(yè) 共 21 頁(yè) 圖 4 添加規(guī)則流程圖 刪除過(guò)濾規(guī)則 刪除規(guī)則時(shí)，首先需要確定所要?jiǎng)h除的規(guī)則，再將其從文檔類中刪除，同時(shí)更新視圖類的顯示。 return TRUE。 rules[nRules].action = action。 rules[nRules].destinationPort = dstPort。 rules[nRules].destinationIp = dstIp。 rules[nRules].sourceMask = srcMask。//源端口 dstPort = m_portDestination。 else cAction = 1。 第 10 頁(yè) 共 21 頁(yè) else if(m_protocol == 所有 ) protocol = 0。 else if(m_protocol == UDP) protocol = 17。//從目的 IP 掩碼編輯框獲取目的IP 掩碼賦給 dstMask。 result = i_addr(m_dstMask, amp。dstIp)。//從源 IP 掩碼編輯框獲取源 IP地址掩碼賦給 srcMask。 result = i_addr(m_srcMask, amp。srcIp)。 UpdateData(TRUE)。 第 9 頁(yè) 共 21 頁(yè) 圖 3 添加規(guī)則對(duì)話框 添加規(guī)則功能是將對(duì)話框中的規(guī)則添加到存儲(chǔ)數(shù)據(jù)的文檔中。 詳細(xì)設(shè)計(jì) 主界面 程序主界面如圖 2。 int action。 unsigned short destinationPort。 unsigned long destinationIp。 unsigned long sourceMask。 _RuleInfo 類 _RuleInfo 類是用來(lái)定義過(guò)濾規(guī)則的數(shù)據(jù)結(jié)構(gòu)。//更新規(guī)則列表，和 Doc 文檔類保持一致 protected: void AddRuleToList()。 //{{AFX_VIRTUAL(CFireWallView) public: protected: virtual void OnInitialUpdate()。 class CFireWallView:public CFormView { public: CFireWallDoc* GetDocument()。 其中 RuleInfo rule[MAX_RULES]是 _RuleInfo 結(jié)構(gòu)體的一個(gè)變量，該數(shù)組用來(lái)存儲(chǔ)規(guī)則， _RuleInfo 類詳細(xì)情況見 節(jié)介紹。//刪除規(guī)則 void ResetRules()。//最大規(guī)則數(shù) int AddRule()。 第 7 頁(yè) 共 21 頁(yè) class CFireWallDoc:public CDocument { public: unsigned int nRules。 文檔類 CFireWallDoc MFC 程序中的文檔類是用來(lái)存儲(chǔ)數(shù)據(jù)變量的。//加載規(guī)則菜單 //}}AFX_MSG }。//停止過(guò)濾菜單 afx_msg void OnMenuSaveRules()。//卸載規(guī)則菜單 afx_msg void OnMenuStart()。//刪除規(guī)則菜單 afx_msg void OnMenuInstallRules()。//卸載規(guī)則 afx_msg void OnMenuAddRule()。//停止過(guò)濾按鈕 afx_msg void OnButtonInstall()。//刪除規(guī)則按鈕 afx_msg void OnButtonstart()。//退出程序 afx_msg void OnButtonadd()。//AddFilterToFw 完成將過(guò)濾鉤子安裝到防火墻的功能。//定義一個(gè) TDriver 類的變量， TDriver ipFltDrv。//規(guī)則安裝標(biāo)志 TRUE已安裝， FALSE未安裝 protected: BOOL started。下面列出了 CmainFrame 類中的主要方法和變量。 主框架類 CMainFrame 主框架類 CMainFrame 構(gòu)成整個(gè)程序的框架，包括菜單、工具、按鈕等。 5 防火墻設(shè)計(jì) 程序關(guān)鍵類 應(yīng)用程序類 CFireWallAPP 每個(gè) MFC 應(yīng)用程序都必須包括一個(gè)從 CWinApp 派生的應(yīng)用程序類，在本程序中的應(yīng)用程序類就是 CFireWAllApp。安裝和卸載的功能就是將過(guò)濾規(guī)則傳送給IP 過(guò)濾驅(qū)動(dòng)或是將已安裝的規(guī)則從過(guò)濾驅(qū)動(dòng)中刪除。 安裝卸載功能摸塊 防火墻要過(guò)濾數(shù)據(jù)包，就需要將 IP 過(guò)濾驅(qū)動(dòng)按照定義的規(guī)則進(jìn)行過(guò)濾。 文件存儲(chǔ)功能模塊 使用戶添加的過(guò)濾規(guī)則能夠保存成文件的形式方便儲(chǔ)存，在用戶添加規(guī)則后可以選擇某一條規(guī)則進(jìn)行保存，防火墻會(huì)將該規(guī)則保存為后綴名為 .rul 的文件，在下次打開防火墻的時(shí)候可以直接加載該規(guī)則。 過(guò)濾規(guī)則存儲(chǔ)功能模塊 該功能用于存儲(chǔ)用戶添加的過(guò)濾規(guī)則，接受用戶對(duì)