防火墙的设计与实现

网络安全课程论文题目：防火墙的设计与实现学院：天津国土资源与房屋管理职业学院专业：计算机应用技术年级：2015级姓名：程国良学好：15031102完成时间：2017年6月13日目录第1章引言：.....................................................31.1背景....................................................................................................................................41.2研究目的............................................................................................................................41.3防火墙原理........................................................................................................................5第2章防火墙的概述................................................52.3防火墙使用的技术：........................................................................................................62.3.1包过滤路方法的缺点：........................................................................................6第3章：防火墙技术的设计和实现.....................................73.1防火墙的设计....................................................................................................................83.2程序结构与类....................................................................................................................83.3程序流程图........................................................................................................................8第4章：防火墙技术在网络安全保护中的优势和不足.....................94.1.防火墙所具备的优势.....................................................................................................94.1.1.防火墙能强化安全策略.....................................................................................94.1.2.防火墙可以实现网段控制.................................................................................94.2.防火墙存在的不足.........................................................................................................9第5章：防火墙的发展趋势..........................................10第6章：结束语...................................................13参考文献：........................................................13摘要：当今时代是飞速发展的信息时代，计算机与信息处理技术逐渐成熟。随着Internet和计算机网络技术的蓬勃发展，网络安全问题现在已经得到普遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。本设计实现的防火墙采用IP过滤钩子驱动技术，过滤钩子驱动是内核模式驱动，它实现一个钩子过滤回调函数，并用系统提供的IP过滤驱动注册它，IP过滤驱动随后使用这个过滤钩子来决定如何处理进出系统的数据包。本防火墙由以下几个模块组成：过滤规则添加模块，过滤规则显示模块，过滤规则存储模块，文件储存模块，安装卸载规则模块，IP封包过滤驱动功能模块。用户只需要通过主界面菜单和按钮就可以灵活地操作防火墙，有效地保护Windows系统的安全。关键词防火墙过滤钩子过滤驱动包过滤TheDesignandImplementofSimpleWindowsFirewallProfession:ComputerScienceandTechnologyClass:J091Name:DaiwenLeeInstructor:GuohaoWanAbstractThecurrenteraisarapiddevelopmentofinformationage.Thetechnologiesofcomputerandinformationprocessingbecomematurity.WiththeInternetandcomputernetworktechnologytobeflourishing,networksecuritythathasbeenwidelyconcerned.Firewallsystemisoneofthesecuritytechnologiesthatusedinthenetwork.Thisdesignhasimplementedafirewalla第1章引言：所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Intranet与Internet之间建立起一个安全网关，从而保护被保护网免受非法用户侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件和硬件的总称。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网隔离的方法，它实际上是一种分割技术。防火墙是在两个网络通讯时执行的一种访问控制工具，它允许你“同意”的人和数据进入自己的网络，同时将你“不同意”的人和数据阻挡在门外，最大限度地阻止网络中的黑客来访问你的网络。随着计算机技术和网络技术的发展，计算机网络给人们带来了很多便利，于此同时网络安全的问题也伴随着网络技术的发展而日趋严重。使用防火墙能很好的提高系统的安全性，减少系统受到网络安全方面的威胁。本毕业设计选择开发一个Windows下的防火墙，它能够对网络IP数据包按照用户的设置进行过滤。通过此防火墙的开发锻炼了学生的实际动手能力对以后的学习和工作能力的培养具有重要意义。1.1背景校园网是一个开放的、控制机构相对较弱的网络，恶意的攻击时常会侵入网络中的计算机系统。校园网的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。校园网上的通信业务大多数使用的是Windows操作系统来支持，Windows操作系统中存在一定的安全脆弱性问题，会直接影响安全服务。随着校园内计算机应用的大范围普及，介入校园网节点日益增多，而这些借点大部分都没有采取一定的保护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。1.2研究目的随着越来越多的校园网投入运行和连入Internet，校园网的安全管理问题越来越突出，为保证网络的安全性，保证信息和数据的安全性也同时保护了信息管理系统，必须确保有安全和坚强的防火墙系统。目前，防火墙产品在市面上有各种，“XX电脑管家等”这些产品都包含有包过滤功能和安全审核等功能，有些还有入侵监测、代理、IP转换、锁定地址等功能，性能能不一，但大多数都不是很便宜，为了节省开销，同时又要求网络的安全运行得意保障，因此，设计并实现经济实用的复合型多功能防火墙系统是最好的办法，应用实践证明，这样的系统在一定程度上能够保证校园网络的安全需求。1.3防火墙原理防火墙是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，使得Internet与Internet之间建立起一个安全网关（SecurityGateway），这样保护内部网系统免受非法用户的攻击。防火墙基本是由访问规则、包过滤结构、应用网关和验证工具4个模块组成。防火墙就是一个位于计算机和它所连接的网络之间的系统。该计算机流入流出的所有网络通信均要经过此防火墙。网络中的“防火墙”是一项将和内部系统和外部公共网络（如Internet）区别开的的方法，实际上是一种将内部隔离在外部的技术。防火墙是在两个网络系统通信时执行的一种访问控制规则，它能允许你“允许”的人和数据进入你的网络，同时将你“不允许”的人和数据挡在外面，最大程度地阻止公共网络中的恶意用户来访问你的网络。换句话说，如果不透过防火墙，公司内部系统网络的人就无法访问Internet,Internet上的人也不能与公司内部的人进行通讯[5]第2章防火墙的概述2.1防火墙的定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部信息、结构和运行的基本状况，以此来实现网络的安全与保护。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。防火墙是设置在内部网络和外部网络之间的一道屏障，从而实现网络安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙具有较强的抗攻击能力，它是提供安全服务、实现网络信息安全的基本设施。2.2防火墙的基本策略防火墙基本的功能是确保网络信息的合法性，并在此前提下将网络的信息快速的从一条链路转发到另外的链路上去。从原是的防火墙开始谈起，最早的防火墙是一台“双洞主机”，它不但具备两个网络接口，而且拥有两个物理层地址。防火墙将网络上的信息通过相应的接口接收上来，按照OSI协议栈的七层结构体系按顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文段从相应接口送出，而对于那些不符合通过条件的报文段或者报文组则予以阻断。所以，从这角度上说，防火墙是一个类似于桥接或路由器的、多端口的转发设备，它接于多个分离的逻辑网段之间，在报文转发过程之中完成对报文的审查检测工作。2.3防火墙使用的技术：数据包过滤：包过滤路由器可以决定对它所收到的每个数据包的取舍。是基于路由器技术的，建立在网络层、传输层上。路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。包过滤规则即访问控制表，通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个与规则不相匹配的，且规则拒绝此数