防火墙个人版.docx
《防火墙个人版.docx》由会员分享,可在线阅读,更多相关《防火墙个人版.docx(73页珍藏版)》请在冰豆网上搜索。
防火墙个人版
摘要
本文旨在介绍“FreedomFirewall”系统:
该Firewall是一个基于TCP/IP协议的网络应用系统,它提供了一个对于局域网内部网络监控、数据流量的详尽统计、阻隔不合规则的网络访问等功能,为网络安全的控制提供了重要手段。
其使用对象为局域网计算机或拨号上网的个人计算机用户。
本文主要分为如下六大部分:
第一部分系统开发的实时性效用和目的系统的可行性分析系统需求分析
第二部分系统的开发技术和方法:
面向对象编程技术Firewall的设计及技术
API技术ActiveX技术
第三部分系统的具体实现三部分:
系统规划开发环境和工具的选择
主要功能分析
第四部分系统的测试、维护
第五部分系统开发总结参考文献附录部分
关键字:
网络监控过滤API(应用程序编程接口)动态链接库(DLL)ActiveX
网络侦听日志记录
Abstract
Inthispaper,wepresentourfirewallsystem:
thisfirewallisanetworkapplicationsystembasedonTCP/IP,itsuppliesagoodtoolforLANsuchasnetworkmonitor,thedetailedstatisticsofdatavolumeandnetdisconnect,andsoon.Itgivesoutanimportantmethodfornetworksecurity.ItcanbeusedinthenetworkofLANmanagecenterintheschool,scientificresearchdepartment,government,companyorpersonalcomputer.
Thispaperhassixmainsectionswhichcanbeshownbelow:
Section1thedetailedapplicationoftheintentionandthepurposeforthesystemdevelopment,Systemfeasibilityanalysis,Systemrequirementsanalysis
Section2OMT(ObjectModellingTechnique),API(ApplicationProgramingInterface)ActiveX,thedesignandthetechnologyofourfirewall
Section3thedetailedrealizationofthesystem:
theanalysisofSystemdesign,theenviromentandthetoolsofthesystemdevelopment,themainfunctionanalysis
Section4SystemTestingandMaintenance
Section5theconclusionofthesystemdevelopment,referencesappendix
keywords:
networkmonitorfilterAPI(ApplicationProgramingInterface)
DLL(DynamicLinkLibraries)networklisteningdaliyrecordnodes
目录
摘要……………………………………………………………………………………………1
防火墙个人版简介……………………………………………………………………………3
开发计划………………………………………………………………………………………4
第一部分:
前言……………………………………………………………………………5
e时代的网络安全与防火墙技术………………………………………………………5
防火墙系统解决方案……………………………………………………………………5
第二部分需求分析…………………………………………………………………………6
一、提出问题…………………………………………………………………………6
二、关于防火墙………………………………………………………………………6
1、防火墙是什么…………………………………………………………………6
2、防火墙的作用…………………………………………………………………6
3、防火墙要完成的功能………………………………………………………7
4、防火墙的缺点…………………………………………………………………7
三、量身定做的必要性………………………………………………………………7
四、可行性分析…………………………………………………………………8
五、系统需求分析…………………………………………………………………8
1.系统要具有较强的安全保证……………………………………………8
2.用户界面要友好,操作要方便……………………………………………8
3.可扩充性……………………………………………………………………8
4、高效性………………………………………………………………………8
5、功能灵活性…………………………………………………………………9
6、配置方便性…………………………………………………………………9
7、管理方便性…………………………………………………………………9
8、可靠性……………………………………………………………………9
第三部分:
系统开发方法及新技术………………………………………………………10
一.软件工程方法概述……………………………………………………………10
二.面向对象的软件开发方法…………………………………………………………10
三.防火墙的设计及技术……………………………………………………………10
区隔的技术………………………………………………………………………10
防火墙操作系统的技术(见图1)………………………………………………11
通讯堆叠的技术…………………………………………………………………12
包过滤技术(PacketFiltering)……………………………………………13
状态检查技术(StatefulInspection)………………………………………13
传输层网关技术 (Circuit-LevelGateway)………………………………14
应用层网关技术 (Application-LevelGateway)…………………………15
DualNetworkStack…………………………………………………………15
网络地址转换技术(NAT:
NetworkAddressTranslation)…………………16
包过滤的基本准则……………………………………………………………16
四.VB技术…………………………………………………………………………17
五.API技术…………………………………………………………………………18
六.ActiveX技术……………………………………………………………………18
第四部分系统设计………………………………………………………………………19
一.系统概要设计……………………………………………………………………19
二.系统详细设计…………………………………………………………………19
1:
系统流程图的设计…………………………………………………………20
2、功能实现的设计……………………………………………………………21
第五部分:
系统开发环境与工具的选择…………………………………………………23
第六部分:
系统实现………………………………………………………………24
第七部分:
系统测试…………………………………………………………………26
第八部分:
系统维护…………………………………………………………………27
第九部分:
系统开发总结………………………………………………………………28
第十部分:
防火墙前景展望………………………………………………………………33
参考资料………………………………………………………………………………35
附录………………………………………………………………………………………36
防火墙个人版简介
软件名称:
FreedomFirewall
软件分类:
网络安全工具---个人防火墙
出版日期:
2003-06-03
版本:
V1.0版
操作系统:
ForWindows2000/NT(sp6)/98/ME
语言界面:
简体中文
原创单位:
陕西师范大学计算机科学学院
学校网址:
防火墙个人版是一款由99级学生毕业设计制作的网络安全程序。
它根据系统管理者设定的安全规则(SecurityRules)把守网络,提供强大的访问控制、应用选通、信息过滤、流量控制、黑客攻击监控等功能。
它可以帮你抵挡网络入侵和攻击,防止信息泄露,根据可疑的攻击信息,来找到攻击者。
目前的版本是v1.0版本。
该防火墙有待于进一步改善。
开发计划
“FreedomFirewall”是基于Windows环境下的用户使用的,计划将使用6周的时间5个人来完成整个开发,初步安排情况如下:
第1周完成可行性论证和需求分析
第2-4周完成主要代码的编写和技术文档的整理
第5周完成代码的测试和功能的进一步完善
第6周系统测试
序号(周)
内容
起始时间
终止时间
1
系统开发计划及需求分析
2003.05.01
2003.05.07
2-4
代码的编写和技术文档的整理
2003.05.08
2003.05.29
5
代码的测试和功能的完善
2003.05.30
2003.06.05
6
系统测试
2003.06.06
2003.06.12
文档提交时间
系统提交时间
2003.05.23
2003.06.03
开发小组成员:
彭剑锋武小士雷燕瑞束建华尤腾(排名不分先后)
注明:
我们计划在整个开发过程中的每一部分尽可能做到让每位成员都参与进来,体现我们的合作精神,这样对我们来说既是一个对系统详细了解的过程,也便于我们讨论完成整体工作。
所以我们没有刻意的将某一部分的任务分配到某一个人,“大家一起来参与”这是我们与别的开发小组不同的一点,我们相信我们不会推脱责任延误我们的本科毕业设计。
第一部分:
前言
网络安全问题自有网络那天起就存在了,只是当时人们并没有充分重视,随着对计算机网络的依赖越来越大,网络安全问题也日益明显。
1988年11月1日,康奈尔大学的研究生RobertMorris在互联网上投放了一种恶意的计算机程序——“蠕虫”,这个蠕虫被释放到互联网后,便进行“自我复制”,在很短的时间内便使互联网上10%的主机无法工作,损失惨重,这一事件终于使人们意识到网络的安全问题。
比如,美国国防部远景研究规划局很快便组建起计算机应急小组,专门对付“蠕虫”病毒作崇期间所引发的各种事故。
网络安全问题也由此提到重要日程之上。
网络安全的关键技术互联网的兴起引领人们迈向信息社会,而内部网的浪潮则使人们在信息时代捕捉到新的商机。
但是要想使商用网络在互联网上得以安全运行,首先应建立或使原有的网络升级为内部网,而专用的内部网与公用的互联网的隔离则有赖于Firewall技术。
e时代的网络安全与Firewall技术
网络技术和通讯技术的不断发展,互联网已经成为扩展个人和企业发展的重要工具。
而对任何一个个人或企业,在规划如何利用互联网这一先进的生产工具、扩展应用的同时,如何有效地保护我们的网络和网络应用系统的安全,亦是关系到其生存和发展的重要课题。
保护网络应用系统的安全技术主要包括四个部分,它们的重要作用分别是:
● Firewall/网关技术:
构建企业网络的边界防御体系
●VPN技术:
企业电子商务的安全应用平台
●攻击监控/预警技术:
实时防范已知方式的攻击
●审记/日志技术:
分析安全隐患,查证攻击来源
对于保护网络安全,Firewall是最基础的设备,它的主要功能在于把那些不受欢迎的访问隔离在特定网络之外,是一种经济实用的网络边界防护设备。
通常,Firewall被放置于内部网络与公共网络的连接处,通过执行特定的访问规则和安全策略来保护与公共网络相连的内部网络。
内部网络与外部网络之间的任何数据传递都必须通过Firewall,Firewall对这些数据以及访问需求进行分析、处理,并根据已设置的安全规则判定是否允许其通过。
建立Firewall对于保护内部网络免受来自外部的攻击有较好的防范作用,同时,由于Firewall系统本身具备较高的系统安全级别,可以防止非法用户通过控制Firewall对内网发动攻击。
Firewall系统解决方案
区隔网络不同安全区域的防御性设备,例如:
互联网络(Internet)与企业内部网络(Intranet)之间
管理所有在不同安全区域间的网络连线
第二部分需求分析
一、提出问题
近年来,网络犯罪的递增、大量黑客网站的诞生,促使人们更加注意网络的安全性问题。
各种网络安全工具也跟着在市场上被炒得火热。
其中最受人注目的当属网络安全工具中最早成熟、也是最早产品化的网络Firewall产品了。
目前Firewall产品已经进入“战国时代“,在全球至少有千种以上的Firewall,那么Firewall到底是一种什么东西?
它有那些技术指标?
我们应该怎样选择一个合适的Firewall呢?
需不需要量身定做Firewall?
二、关于Firewall
1、Firewall是什么
所谓“Firewall”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
Firewall是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息
为安全起见,我们在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。
这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,他的作用与古时候的防火砖墙有类似之处,因此我们称这个屏障为“Firewall”。
2、Firewall的作用
Firewall不只是一种路由器、主系统或一批向网络提供安全性的系统。
相反,Firewall是一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。
就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口令的先进验证)来说,Firewall是该政策的具体实施。
Firewall系统的主要用途就是控制对受保护的网络(即网点)的往返访问。
它实施网络访问政策的方法就是迫使各连接点通过能得到检查和评估的Firewall。
Internet
路由器和应用网关Firewall范例
Firewall系统通常位于等级较高的网关如网点与Internet的连接处,但是Firewall系统还可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
Firewall基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server来控制经过Firewall的网络应用程序的通信流量。
一般来说,Firewall置于公共网络(如Internet)人口处,它的功能相当于交通警察。
它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。
它能实施安全路障并为管理人员提供对下列问题的答案:
(1)谁在使用网络?
(2)他们在网上做什么?
(3)他们什么时间使用过网络?
(4)他们上网时去了何处?
(5)谁要上网但没有成功?
3、Firewall要完成的功能
本质上来讲,Firewall被认为是两个网络间的隔断,只允许所选定的某些形式的通信通过。
Firewall另外一个重要特征是它自身抵抗攻击的能力:
Firewall自身应当不易被攻入,因为攻入Firewall就给攻击者进入内部网一个立足点。
从安全需求来看,理想的Firewall应具备以下功能:
(1)能够分析进出网络的数据。
(2)能够通过识别、认证和授权对进出网络的行为进行访问控制。
(3)能够封堵安全策略禁止的业务。
(4)能够审计跟踪通过的信息内容和活动。
(5)能够对网络入侵行为进行检测和报警。
(6)能够对需要保密的信息进行授权的加密和解密。
(7)能够对接收到的数据进行完整性校验。
通过选择优秀的Firewall产品,制定合理的安全策略,您的内部网络可以在很大程度上避免受到攻击。
但是需要指出的是,当前流行的许多错误概念和观点经常误导用户。
那就是过分夸大某些产品的功能,认为所有的网络安全问题可以通过简单地配置Firewall来达到。
虽然当单位将其网络互联时,Firewall是网络安全的重要一环,但并非全部,许多危险是在Firewall能力范围之外的。
4、Firewall的缺点
Firewall是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。
因此Firewall只适合于相对独立的网络,例如企业的内部的局域网络等。
首先Firewall不适用于内部人员的攻击防范,因为他们只提供周边防护。
Firewall并不控制内部用户滥用授权访问,而这可能才是最大的威胁。
信息安全调查表明超过一半的事件是内部人员的攻击,许多经验丰富的安全专家认为由内部引起的安全问题占到总量的80%。
Firewall的另一个主要问题是不能直接抵御恶意程序:
如病毒和木马。
如今恶意程序发展比以前更快,新型的宏病毒通过共享文档传播,它们可以通过e-mail附件的形式在Internet上迅速蔓延,就像"美丽莎"和"爱虫"。
Web本身就是一个病毒源,许多站点都可以下载病毒程序甚至源码。
许多用户,不经过扫描就直接读入e-mail附件中的MS-WORD文档或HTML文件。
同时,Web也为木马提供了潜在的通途,这个十分严重的问题就是分布式应用技术,如Java和ActiveX。
某些Firewall可以根据已知病毒和木马的特征码检查流入程序,虽然这样做有些帮助但并不可靠,因为对那些新的木马程序是无能为力的。
另外,这些Firewall只能发现由其他网络来的恶意程序,但许多病毒是通过被感染的软盘或系统直接进入网络中的。
比如,我们的内部人员从外面回来后将受到感染的便携机接入网络,病毒会在整个网络系统流行。
三、量身定做的必要性
目前国内外的各种Firewall产品很多,虽然有不少类似的Firewall产品,采用的技术也比较先进,系统效率也高,功能完善,多数为软件Firewall。
但是由于商业氛围太浓,太看重于利益,对于用户来说不是价格高就是没有特定的需要,要么就是主次不分。
而国外的Firewall较之国内的Firewall功能更为齐全,价格更是贵得吓人,重要的是由于网络安全产品本身在网络中处于一个非常关键的部位,因此国家有关部门已经下文明确指出国家的职能部门不得使用国外安全产品,同时目前已经检测发现某些国外安全产品留有后门。
因此,对于从事计算机工作、要随时享受互联网资源的我们来说,开发一套属于我们自己的、高效、安全、有特定功能的Firewall是十分必要的,必要时也可以作为我们的完全产品供其他用户免费使用,方便你我他。
当然由于网络黑客的不断升级,我们也要不断的更新维护我们的产品,以适应需求。
基于以上各种因素,我们的目标是使我们自己开发的Firewall可以在为我们的内部网络提供强大的保安系统,抵御来自外部网络的攻击、防止不法分子的入侵的同时,又能保证安全高速地访问全球公共资源。
四、可行性分析
为了找到实现本系统行之有效的解决方案,我们对技术的可行性和实现条件的可行性这两方面进行了论证。
首先是技术上的分析,随着网络技术的高速发展和普遍应用,特别是黑客网站的不断成熟和黄色网站的增加,Firewall系统已由单纯的过滤功能过渡到自动阻隔非法访问和检测并断开黄色网站的链接等方向,网络新型的、以服务器为中心的结构体系使企业和政府摆脱了那种需密集人力资源、物力资源、高成本的操作及管理方式,通过网络服务,用户可以采用移动的方式从不同的地方存取网络资源,从而引发了一系列非法的客户访问和攻击。
各种开发软件功能的不断完善也为我们开发Firewall系统提供了强有力的后盾。
其次我们还从实现条件的可行性进行了分析,因为当今时代计算机已经普及到每一个角落,利用网络的安全来保护自己的资源,在安全的角度来说,本系统有其很大的使用价值,那么在系统运行后就用户方而言,由于用户使用本系统时,不会也不必关心系统内部的结构及实现方法,即对用户来说是透明的。
所以本系统对用户而言,是定位在界面友好、操作方便、功能齐全的原则上的,用户只需简单的用鼠标点击各页面上的链接或按钮就能执行相应的功能,就管理者而言,关心的是如何处理Firewall日志上的所有信息,然后提供给用户什么样的方便。
而以上的这些功能都能在所选择的开发环境中用所选择的开发工具来实现。
综上所述,本系统的开发是可行的。
五、系统需求分析
进行系统的可行性分析之后,我们从用户的需求方面充分的考虑了本系统应该具备的各种要求:
1.系统要具有较强的安全保证
由于系统是完成网络的安全系统,所以系统自身的的安全性是最重要的.Firewall的安全性能取决于Firewall是否基于安全的操作系统和是否采用专用的硬件平台。
应用系统的安全性能是以操作系统的安全性能为基础的;同时,应用系统自身的安全实现也直接影响到整个系统的安全性。
2.用户界面要友好,操作要方便
由于系统面向的是一切上网进行投票的广大消费者,他们的文化程度和操作能力都有很大的不同,为了保证系统的通用性,必须使系统的界面友好,操作方便。
3.可扩充性
用户的网络不是一成不变的。
随着业务的发展,公司内部可能组建不同安全级别的子网,Firewall此时不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤。
4、高效性
性能指标体现了Firewall的可用性能,也体现了企业及个人用户使用Firewall产品的代价(延时),用户无法接受过高的代价。
如果Firewall对网络造成较大的延时,还会给用户造成较大的损失,这是我们尽量要避免的。
5、功能灵活性
质量好的Firewall能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。
控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出Firewall控制策略的质量。
6、配置方便性
质量好的Firew
升级会员 