【正文】 成都信息工程學(xué)院 學(xué)位論文 簡易 Windows 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 論文作者姓名： 劉鐘 申請學(xué)位專業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) 申請學(xué)位類別： 工學(xué) 學(xué)士 指導(dǎo)教師姓名（職稱）： 索望 論文提交日期： 2021 年 06 月 10 日 簡易 Windows 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 摘 要 當(dāng)今時(shí)代是飛速發(fā)展的信息時(shí)代，計(jì)算機(jī)與信息處理技術(shù)日漸成熟。隨著Inter 和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展， 網(wǎng)絡(luò)安全問題現(xiàn)在已經(jīng)得到普遍重視。 本 設(shè)計(jì)實(shí)現(xiàn)的防火墻采用 IP 過濾鉤子驅(qū)動技術(shù)，過濾鉤子驅(qū)動是內(nèi)核模式驅(qū)動，它實(shí)現(xiàn)一個(gè)鉤子過濾回調(diào)函數(shù)，并用系統(tǒng)提供的 IP 過濾驅(qū)動注冊它， IP 過濾驅(qū)動隨后使用這個(gè)過濾鉤子來決定如何處理進(jìn)出 系統(tǒng) 的數(shù)據(jù)包。 用戶只需要通過主界面菜單和按鈕就可以靈活 地操作防火墻 ，有效 地保護(hù) Windows 系統(tǒng) 的 安全。 it’s driven through the kernel mode, the filterhook callback function has been implemented and the filterhook driver is registered by the IP filter driver which is provided by system. The IP filter driver uses the filterhook to handle the data packets in and out. The firewall is posed of the following modules: adding filter rules module, display filter rules module, storage filter rules module, storage file module, installation and unloading rules module, IP packet driver module. Users can finish the operation by using main menu and button and protect the system effectively. Key words: Firewall。 Filter Driver。防火墻是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一安全通道，簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)，它可以在 IP 層設(shè)置屏障，也可以用應(yīng)用軟件來阻止外 來攻擊。 本課題研究意義 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來了很多便利，于此同時(shí)網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。本畢業(yè)設(shè)計(jì)選擇開發(fā)一個(gè) Windows 下的防火墻，它能夠?qū)W(wǎng)絡(luò) IP 數(shù)據(jù)包按照用戶的設(shè)置進(jìn)行過濾。 本課題研究方法 本 設(shè)計(jì)是 使用 VC++ 的開發(fā)環(huán)境， 運(yùn)用 IP 過濾鉤子驅(qū)動技術(shù) 設(shè)計(jì)和實(shí)現(xiàn)的。 2 防火墻概述 防火墻的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全 。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。服務(wù)訪問策略應(yīng)包括控制用戶對某些 Inter 服務(wù)的訪問。在建立服務(wù)訪問政策時(shí)，需要注意兩個(gè)方式： 不允許從 Inter 上訪問到用戶的網(wǎng)絡(luò)，但是允許個(gè)別用戶（設(shè)定得到）的網(wǎng)絡(luò)訪問有限 Inter 站點(diǎn)。 作為防火墻策略，就是定義實(shí)現(xiàn)服務(wù)訪問策略的具體規(guī)則。 除了拒絕的事件之外，允許其它的任何事件。 包過濾防火墻 數(shù)據(jù)包 數(shù)據(jù)包是指 IP 網(wǎng)絡(luò)消息。 Linux中包含的 IP防火墻機(jī)制 3種 IP消息類型 :ICMP(Inter控制消息協(xié)議 )、 UDP(用戶數(shù)據(jù)報(bào)協(xié)議 )和 TCP(傳輸控制協(xié)議 )。包頭里根據(jù)協(xié)議類型還包括了不同的字段。 UDP 和 TCP 包包含了源和目的服務(wù)端口號。 因?yàn)槁酚善魍ǔ７植荚谟胁煌踩枨蠛桶踩呗缘木W(wǎng)絡(luò)的交界 處，因此可以通過在路由器上使用包過濾在可能的情況下實(shí)現(xiàn)只允許授權(quán)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)入。顧名思義，包過濾在路由過程中對指定包進(jìn)行過濾（丟棄）。 第 3 頁 共 21 頁 包過濾防火墻通常在操作系統(tǒng)內(nèi)部實(shí)現(xiàn)，并且操作在 IP 網(wǎng)絡(luò)和傳輸協(xié)議層。包過濾防火墻由一組接受或禁止規(guī)則列表組成。防火墻規(guī)則使用在上面描述的包頭字段來決定是否允許路由一個(gè)包通過，以達(dá)到它的目的，或則無聲息的將包丟棄掉，或阻止包并向它的發(fā)送機(jī)器返回一個(gè)錯誤狀態(tài)。 包過濾功能是所有的防火墻都具備的一個(gè)基本功能 ,實(shí)際上防火墻要完成的功能從根本上來說 ,就是要按照用戶的要求來控制網(wǎng)絡(luò)所流通的數(shù)據(jù)包 ,屏蔽那些無益的連接。能夠?qū)?Windows 9x、 Windows NT 以及 Windows 2021 下的 C++程序設(shè)計(jì)提供完善的編程環(huán)境。 VSS 版本控制是工作組軟件開發(fā)中的重要方面，它能防止意外的文件丟失、允許反追蹤到早期版本、并能對版本進(jìn)行分支、合并和管理。 VSS 可以同 Visual Basic、 Visual C++、 Visual J++、 Visual InterDev、 Visual FoxPro 開發(fā)環(huán)境以及 Microsoft Office 應(yīng)用程序集成在一起，提供了方便易用、面向項(xiàng)目的版本控制功能。在提倡文件再使用的今天，用戶可以同時(shí)在文件和項(xiàng)目級進(jìn)行工作。 4 防火墻系統(tǒng)構(gòu)成 需求分析 該防火墻的主要功能是實(shí)現(xiàn)包過濾，其他功能主要包括以下幾個(gè)方面。 能添加刪除規(guī)則。 能對過濾規(guī)則進(jìn)行安裝和卸載操作，即：將規(guī)則發(fā)送給 IP 過濾驅(qū)動或從 第 4 頁 共 21 頁 IP 過濾驅(qū)動中刪除規(guī)則。 設(shè)計(jì)思路 根據(jù)程序的需求來完成功能和模塊化設(shè)計(jì)的思想，總體設(shè)計(jì)思路如下： 任何程序都必須具有和用戶進(jìn)行信息交互的功能，因此用戶接口部必須考慮，根據(jù)功能要求，該部分 應(yīng)具備：用戶操作的功能菜單、能對過濾規(guī)則進(jìn)行設(shè)置、顯示規(guī)則界面、添加規(guī)則界面。 功能模塊構(gòu)成 功能模塊構(gòu)成如圖 1。過濾規(guī)則主要包括：源 IP 地址 、子網(wǎng)掩碼、端口號，目的 IP 地址、子網(wǎng)掩碼、端口號，協(xié)議，以及對符合該規(guī)則的數(shù)據(jù)包是放行還是阻止進(jìn)行設(shè)置。 過濾規(guī)則顯示功能模塊 該功能用于顯示用戶添加的規(guī)則，能夠?qū)γ恳粭l規(guī)則進(jìn)行刪除、安裝、卸載包過濾防火墻 過濾規(guī)則添加刪除功能模塊 過濾規(guī)則顯示功能模塊 過濾規(guī)則存儲功能模塊 文件儲存功能模塊 文件載入功能模塊 安裝卸載功能模塊 IP封包過濾驅(qū)動功能模塊 第 5 頁 共 21 頁 的操作，使防火墻過濾規(guī)則能夠很詳細(xì)的顯示給用戶 。如：安裝規(guī)則，則把用戶選擇的規(guī)則安裝到 IP過濾驅(qū)動， IP 接收到此規(guī)則后按照此規(guī)則進(jìn)行數(shù)據(jù)包過濾。 文件載入功能模塊 相對于文件儲存功能模塊，該功能是實(shí)現(xiàn)用戶可以導(dǎo)入一個(gè)后綴名為 .rul的并且保存了有效規(guī)則的文件。用戶通過添加規(guī)則將規(guī)則存儲于防火墻的存儲功能模塊中，想要將規(guī)則發(fā)送給 IP過濾驅(qū)動，就需要對該規(guī)則進(jìn)行安裝。 IP 封包過濾驅(qū)動功能模塊 該功能模塊是整個(gè)包過濾防火墻的核心部分， IP 封包過濾驅(qū)動能按照用戶定義的規(guī)則對數(shù)據(jù)包做出阻止或是放行的選擇。應(yīng)用程序類構(gòu)成了應(yīng)用程序的主執(zhí)行線程，它封裝了一個(gè) Windows 應(yīng)用程序的初始化、運(yùn)行和終止。它構(gòu)成了程序功能的主框架。 class CMainFrame:public CFrameWnd { 第 6 頁 共 21 頁 protected: BOOL Installed。//開始過濾的標(biāo)志， TRUE已開始， FALSE未開始 TDriver filterDriver。// protected: BOOL AddFilterToFw()。 //{{AFX_MSG(CMainFrame) afx_msg void OnAppExit()。//添加規(guī)則按鈕 afx_msg void OnButtondel()。//開始過濾按鈕 afx_msg void OnButtonstop()。//安裝規(guī)則 afx_msg void OnButtonuninstall()。//添加規(guī)則菜單 afx_msg void OnMenuDelRule()。安裝菜單 afx_msg void OnMenuUninstallRules()。//開始過濾菜單 afx_msg void OnMenuStop()。//保存規(guī)則菜單 afx_msg void OnMenuLoadRules()。 在主框架類 CMainFrame 中定義了應(yīng)用程序的所有基本功能。在本程序中 CFireWallDoc 主要用來存儲用戶添加的規(guī)則，當(dāng)用戶添加規(guī)則或刪除規(guī)則時(shí)，就要向文檔類CFireWallDoc 中寫入數(shù)據(jù)；當(dāng)視圖類 CFireWallView 需要將用戶添加的規(guī)則顯示在規(guī)則列表時(shí)，或者將規(guī)則安裝到驅(qū)動，就需要從文檔類 CFireWallDoc 中讀取數(shù)據(jù)。//規(guī)則序數(shù) RuleInfo rules[MAX_RULES]。//添加規(guī)則 void DeleteRule(unsigned int position)。//重置規(guī)則，即在加載規(guī)則前，需要刪除規(guī)則列表中及存儲在文檔類 CFireWallDoc 中的所有規(guī)則 }。 視圖類 CFireWallView 視圖類一般是 用來顯示信息的，在本程序中， CFireWallView 主要用來在規(guī)則列表中顯示存儲在文檔類 CFireWallDoc 中的規(guī)則。//指針指向