ourfirewall防火墙实时监控系统设计论文毕设论文.docx
《ourfirewall防火墙实时监控系统设计论文毕设论文.docx》由会员分享,可在线阅读,更多相关《ourfirewall防火墙实时监控系统设计论文毕设论文.docx(34页珍藏版)》请在冰豆网上搜索。
ourfirewall防火墙实时监控系统设计论文毕设论文
Ourfirewall2004防火墙系统
开发小组:
李骞计算机科学与技术2000级2班
李琳计算机科学与技术2000级2班
王重英计算机科学与技术2000级2班
郭金巧计算机科学与技术2000级3班
指导老师:
吴振强副教授
张莉老师
[摘要]:
本文着重介绍“OurFirewall2004”防火墙系统:
该OurFirewall2004是一个基于TCP/IP协议的网络应用系统,它提供了一个网络实时监控、数据包过滤、日志记录、安全级别设置等功能,为网络安全的控制提供了重要手段。
关键字:
网络监控包过滤API(应用程序编程接口)
动态链接库(DLL)网络侦听日志记录安全级别
[Abstract]:
Inthispaper,wepresentourfirewallsystemwhichis“OurFirewall2004”:
itisanetworkapplicationsystembasedonTCP/IP,itsuppliesmanyfunctionssuchasnetworkmonitor,Packetfiltering,thedailyrecording,thegradesofsecurityandsoon.Itgivesoutanimportantmethodforthecontrolofnetworksecurity.
Keyword:
Thenetworksupervisesandcontrol
ThedatapackfilteringDynamicLinkLibrary
API(ApplicationProgrammingInterface)
NetworkListeningDailyrecordSecurityGrade
目录
摘要………………………………………………………………………1
防火墙简介………………………………………………………………3
前言……………………………………………………………………3
网络安全状况………………………………………………………3
防火墙是什么…………………………………………………………3
防火墙能干什么………………………………………………………4
防火墙采用哪些技术…………………………………………………4
第一部分系统说明………………………………………………………6
一、系统简介……………………………………………………6
二、系统基本功能………………………………………………7
第二部分系统开发环境与工具的选择…………………………………8
第三部分系统设计……………………………………………………9
一、系统概要设计………………………………………………9
二、系统详细设计………………………………………………9
1、系统流程图的设计……………………………………10
2、功能实现的设计……………………………………10
第四部分各部分的技术和关键代码………………………………12
一、实时监控…………………………………12
二、过滤…………………………………22
三、安全日志…………………………………22
四、安全级别…………………………………22
第五部分使用说明…………………………………22
一、安装与卸载…………………………………22
二、具体使用说明…………………………………23
第六部分:
系统测试………………………………………………24
第七部分:
系统维护………………………………………………25
第八部分:
结束语……………………………………………………25
参考资料…………………………………………………………26
附录…………………………………………………………26
防火墙简介:
软件名称:
OurFirewall2004防火墙
软件分类:
网络安全工具---2004防火墙
出版日期:
2004-05-26
版本:
V1.0版
操作系统:
Windows2000/NT(sp6)/98/ME/XP
语言界面:
简体中文
原创单位:
陕西师范大学计算机科学学院2000级
学校网址:
防火墙个人版是一款由2000级学生毕业设计制作的网络安全程序。
它根据系统管理者设定的安全规则(SecurityRules)把守网络,提供强大的包过滤、网络实时监控、安全级别设置、日志审计等功能。
目前的版本是v1.0版本。
由于时间仓促,该防火墙在许多方面还有待于进一步改善。
前言
网络安全状况
随着计算机网络的发展,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,计算机网络的资源共享进一步加强,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,但是在提高信息利用率的同时,也给计算机网络系统的安全性和保密性带来了前所未有的挑战。
事实上internet存在严重的安全漏洞,2000年初,黒客大规模袭击雅虎、亚马逊等电子商务网点,网站一度陷入瘫痪;国内新浪、163等网站也曾遭遇黒客的攻击。
据估计,目前Internet的600多万台主机大约有半数以上经受着入侵的威胁,这是因为Internet网络属于公共服务的网络系统,以Unix操作系统为主,任何人都能非常容易地在网络上漫游并实施入侵。
原本安全的企业网络连入Internet后,如不加防范措施,将极易遭受到入侵者的侵犯,造成专有资源的流失甚至网络的瘫痪。
由此网络安全问题很现实地摆在我们面前.即网络安全需要能针对各种不同的威胁和脆弱性提供全方位的解决方案,确保网络的保密性、完整性、可行性。
迫于这种情况,各大网站、企业纷纷加筑安全的"战壕",而这个"战壕"就是防火墙。
那么到底什么是防火墙?
防火墙能干什么?
它采用了哪些技术?
什么是防火墙?
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
在逻辑上,防火墙是隔离器、限制器、分析器,有效地监控了内部网和外部网的任何活动。
在物理上,防火墙即可以是单纯的硬件设备路由器、主计算机,也可以是软件产品,还可以是路由器、计算机和配有软件的网络的组合。
防火墙逻辑位置示意图
防火墙能干什么?
●防火墙是网络安全的屏障
●防火墙可以强化网络安全策略
●对网络存取和访问进行监控审计
●防止内部信息的外泄
防火墙有哪些技术?
防火墙技术从原理上主要分为三种:
信息包过滤技术(Packetfilter)、代理技术(Proxy)、
状态分析技术(Sstatefulinspection)。
●包过滤技术分为静态包过滤和动态包过滤技术。
静态包过滤技术是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。
静态包过滤技术示意图
动态包过滤技术是采用动态设置包过滤规则的方法,对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
动态包过滤技术示意图
●代理技术分传统代理技术和自适应代理技术
传统代理技术的防火墙是将代理技术参与到一个TCP连接的全过程。
从内部发出的数据包经过这样的防火墙处理后,就好象是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
传统代理技术示意图
自适应代理技术结合了代理型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础上将代理型防火墙的性能提高十倍以上。
传统代理技术示意图
●状态检测技术,它克服了包过滤技术和应用代理技术的局限性,状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。
对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。
这种防火墙的优点是一旦某个访问违反安全规定就会拒绝该访问,并报告有关状态作日志记录。
状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用和用户数据报之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
状态检测技术示意图
第一部分:
系统说明
一、系统简介
我们所开发的“OurFireWall2004”防火墙系统是一个基于TCP/IP协议的网络应用系统,它提供了网络实时监控、数据包过滤、日志记录、安全级别设置等功能,在系统底层、网络层和应用层对系统进行双重保护,有效地保护内部网络,使其免受来自外部的攻击。
为个人PC提供强有力安全屏、为网络安全的控制提供了重要手段。
“OurFirewall2004”采用了包过滤技术,有效地实现了基于IP地址的过滤、远程以及本地端口的过滤.
“OurFirewall2004”能够强制日志记录(LOG)。
由于该防火墙上具有日志服务功能,用户或安全管理员可以监视所有从外部网或互联网的访问,日志记录是全面掌握网络安全状况、衡量防火墙性能和作用的重要手段。
“OurFirewall2004”提供不同级别的安全设置。
由于不同的对象对安全级别的要求有所不同,本系统为用户提供了四个安全等级。
“OurFirewall2004”能够对当前网络与本机的通讯状况进行侦听、监控,由此可分析网络性能、排除网络故障。
“OurFirewall2004帮助”能够系统引导用户安装、使用、卸载防火墙,为用户提供便利。
二、系统基本功能
1、过滤远程IP、远程端口(remoteport)、本地端口(localport)
包过滤是在网络层对数据包的目标地址、以及包所使用的端口确定是否允许该类数据包通过。
如果防火墙设定禁止访问某一IP或端口的话,从这个IP地址或端口而来的所有信息都会被防火墙阻断。
换句话讲,利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。
2、添加需要拦截的IP、远程端口、本地端口
由于一些不良网站、不受欢迎的网络地址(IP)或木马端口(PORT)的存在,用户可根据需要灵活添加过滤规则,来屏蔽网络地址和端口。
3、删除IP、远程端口、本地端口
用户可根据个人需要来取消一些过滤规则。
4、记录并显示访问时间、对方IP、对方端口、本地端口、访问方法。
用户可以通过日志来查看和监视所有从外部网或互联网的访问,分析安全隐患,查证攻击来源。
5、清除日志
用户或网络管理人员将一些繁冗、无分析价值的日志信息删除,以便观察近期日志信息。
6、设置安全级别
本系统针对不同的对象对网络安全级别的要求有所不同,为用户提供了四个安全等级,用户可根据需要通过滑杆(Slider控件)灵活设置四个安全级别(由高到低依次为高、中、中低、低。
)以达到不同程度地保护用户安全的目的。
高:
所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。
禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。
除了是由已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。
中:
安全浏览,具有安全功能,下载潜在的不安全内容之前给予提示,不下载未签名的ActiveX控件,实用于大多数internet站点。
中低:
除了没有提示外,其它和中级安全级基本相同,大多数内容运行时都没有提示,不下载未签名的ActiveX控件,适用于本地网络(INTERNET)上的站点。
低:
提供最小的安全措施和警告提示,下载大多数内容且无提示运行,下载大多数内容且无提示运行,可以运行所有所有的活动内容,通用于绝对信任的站点。
7、智能警告
当安全级别设置为“高”时,系统会出现提醒:
●阻隔IP
●阻隔远程端口
●阻隔本地端口
●禁止访问当前站点所有内容
●允许访问当前站点
8、系统默认安全级别设置
由于一般用户对计算机网络安全没有概念,也没有较高的要求,默认安全级别是最好的选择。
9、局域网内的连接
用户可根据需要,选择是否接受局域网内的连接。
10、实时监控
能够监控本地tcp通讯端口状态,显示本地主机开放的端口号,远程主机的端口号,远程主机的IP地址等信息。
具体功能如下:
●监控远程IP、远程端口(remotePort)、本地端口(localport)
●监控网络状态
第二部分系统开发环境与工具的选择
设计一个系统时,首先需要确定它的开发环境和开发工具,现在网上系统的开发可以采用各种各样的环境和工具,他们相互之间进行比较都有各自的长处,我们对系统开发的环境、工具及底层数据库都进行了仔细的比较,最后确定用以下的开发环境和工具完成本系统的开发:
一、开发环境:
软件环境:
中文windows98以上环境
硬件环境:
PC兼容机Intelx86
至少32MBRAM,建议64M
至少4MB磁盘空间,建议16M
二.编程工具的选择
在进行系统开发工具的选择时,根据自身对技术的掌握程度以及接受能力,我选择了微软公司开发的VisualBasic作为主要的开发工具,用它开发系统有如下诸多的好处和特点:
1.界面设计简单
2.面向对象编程,比较容易实现
3.很容易调用Windows自身的函数
4.后台存取规则容易
5.所见即所得
在开发的过程中,我们还用到的其他的一些软件,如Photoshop处理一些图片,加载到我们的界面中美化视觉。
第三部分系统设计
一.系统概要设计
通过可行分析,我们确定了系统的可实现性,而通过需求分析后,我们更进一步的明确系统必须实现的功能,接下来要完成的工作就是根据系统的需求分析把要实现的功能结构化,具体化,也就是设计系统的结构,进行模块的划分,确定各个模块的功能,接口。
由于时间的关系我们不能很好地完成Firewall的所有功能,所以该系统在设计之初便定义七个模块,以后再逐步扩展和根据网络的需要逐渐更新,而且几个模块各个部分的实现功能都比较简单:
1、基本功能(见页系统说明部分的基本功能)
2、增强功能
2.1代理服务:
为其他主机提供Http,ftp,telnet,代理服务
2.2用户可以自己选择本地代理服务器的端口号及服务类型:
HTTP,FTP,TELNET等
2.3实时监控使用此代理服务的客户机的状态:
"XX客户机的XX端口正在跟远程XX主机的XX端口建立连接"
"XX客户机正在跟远程XX主机XX端口断开连接"
2.4用户可以手动停止和开启各种代理服务功能。
二.系统详细设计
我们的设想是需要一套全面的、重要的适合我们自己的的网络安全系统。
它根据系统管理者设定的安全规则(SecurityRules)把守企业网络,提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。
其他的诸如访问控制虚拟专网(VPN)、身份认证、虚拟网桥、网络地址转换(NetworkAddressTranslation)、提供完善的安全性设置,通过高性能的网络核心进行访问控制的功能我们决定进一步来实现。
我们采用了VB管理界面,通过直观、易用的界面管理强大、复杂的系统功能。
系统采用中国化的设计,界面全中文化,操作简单直接,真的是量身定做。
在概要设计中,我们已经粗略分析了本系统的设计,在此我们将详细的分析系统的实现方案,详细设计阶段的任务就是把解法具体化,设计出程序的详细规格说明。
开发本系统时可以跟据它有条理的编写程序。
在得到了解决方案之后,我们即开始了流程图和功能实现的设计。
1、系统流程图的设计
2、功能实现的设计
确定系统的流程图后,就要开始着手底层功能实现的设计,只有完成功能的架设后才能在以后的编程中对信息的操作有所依据。
在进行本系统功能的架设时我们选择的是VB。
因为它使用方便、界面简单且在各方面能满足系统的要求。
在进行功能架构时,一般要遵循以下的规则:
(1).尽量减少手动操作次数
按钮个数以及功能的分配的选择当然要处于最合理状态,整体功能的实现也要尽量使用户很容易找到所需资源,并且着手操作。
(2).结构设计与操作设计相结合
在设计系统时,有时为了编程实现的简洁和思路的清晰,往往故意增加一些代码的冗余。
这虽然有悖于传统的编程理论,但是考虑到显示与阻隔的方便,对功能的实现有很大的好处,往往采用这种方法。
(3).使各种信息详尽化
管理员要根据日志列表分析有可能是攻击本级计算机的地址,所以我们要在获取信息是使其尽可能的详尽化,当然我们也可以对访问超过一定次数的地址进行记录然后自动阻隔,这样既方便用户,也方便管理员查看。
但由于时间的紧迫性作为下一步的目标来实现,在这里仅仅将日至一个不漏的显示出来。
(4)、界面的风格化
主界面
安全级别界面
第四部分各部分的技术和关键代码
一、实时监控
1、引入
由于网络所固有的开放性、自由性,从网络建立开始就存在网络安全及防护问题。
网络系统安全的脆弱性,使得计算机黑客在网上的非法攻击活动每年以成倍速度增长。
他们利用网络的漏洞和缺陷,进行各种非法活动:
产生和传播各种计算机病毒,非法侵入用户计算机网络,恶意破坏,制使网络瘫痪等,不但造成巨大的损失,还威胁到用户的计算机安全。
我们开发的“Ourfirewall2004”具有实时监控的功能,可有效地监视外来的恶意攻击,避免受到非法访问和探测。
防火墙实时监控的主要目的有两方面:
及时发现网络存在的不安全因素和及时发现对网络入侵和敌意的攻击活动,采取相应的措施。
详细地说防火墙监控的主要目的是发现对网络的非法攻击。
其基本原理是:
监视网络上的通信数据流,捕捉和分析可疑的网络活动,发现网络上存在的不安全活动,进行实时的报警和处理,提供详细的网络安全日志分析报告。
它是防火墙重要而强大的功能。
是对付愈演愈烈的网络黑客攻击和各种计算机犯罪的一种强有力的手段。
2、原理
监控包括两个方面的含义:
监视和控制。
也就是说,防火墙实时监视着来自外部网络的一切不安全因素,对此做出反应和判断,进一步进行控制和处理。
由此可分析网络性能、排除网络故障。
众所周知,一个网络防火墙是处于内/外网络中间,内/外网络通信的所有数据都被网络防火墙接收到,然后就可以进行分析、判别、统计等必要的操作。
它可被认为是连接内部网络和外部网络的透明网关。
网络防火墙会收集所有流通到此的数据包,对它们的源地址、目的地址、封装协议(TCP、UDP、ICMP、IPTunnel等)、TCP/UDP源端口号和目的端口号、输入输出接口等信息进行分析,确定其是否与用户事先设定好的安全机制相匹配,以决定允许或拒绝该数据包的通过。
有效地阻截来自Internet对内部网络的入侵。
其主要工作流程图如下所示:
数据包在防火墙中过滤的流程图
当数据包进入数据包过滤防火墙,首先需要进行的是数据包完整性检查,以确定包在传输中是否有误。
由于防火墙只根据包头中所包含的信息来匹配过滤规则表,因此有时一些畸形包会使防火墙产生迷惑,故那些被怀疑是不完整的数据包在此之前应被抛弃。
这一检查常用于对付黑客的碎片攻击。
被认为是完整的数据包才能接受防火墙的输入过滤规则表的检查,如不允许该数据包通过,该数据包将被抛弃,反之,数据包将进一步接受路由器的检查。
防火墙内的路由表根据数据包中包含的目的信息决定数据包是否需要转发,如需要转发,数据包还需要接受规则表的检查,这一过程是用于防范黑客的路由攻击。
最后,所有的数据包(无论是否需要转发)在离开防火墙前均还需要接受输出过滤规则表的检查。
3、用到的技术和功能模块
(1)VB技术
VisualBasic指的是开发图形用户界面的方法,Basic指的是BASIC(BeginnersAll-purposeSysbolicInstructionCode)语言------一种在计算技术发展史上应用最广泛的计算机语言。
MicrosoftVisualBasic提供了开发MicrosoftWindows应用程序最迅速最快捷的方法。
我们用VB做为工具来开发Ourfirewall2004,是因为VB具有如下优点:
语句生成器和快速提示帮助是用户不必即以成千上万的属性和方法,在较短的时间内就能开发出功能强大的应用程序。
在VisualBasic6.0中,Internet应用程序的开发功能更强大和容易。
在应用程序内可以通过Internet或Internet访问其他计算机中的文档和应用程序;可以创建Internet服务器应用程序,包括IIS应用程序;支持动态HTML技术(DHTML)的应用程序;具有Web应用程序发布功能等。
种类繁多、功能强大的多媒体控件,能帮助用户在较短时间内用较少的语句编写出图文声像并茂的多媒体程序。
VisualBasic6.0在数据库处理功能上有较大增强,能对多种数据库进行读写操作。
另外它所提供的[可视化数据管理器]能帮助用户构造多种类型的数据库,同时提供了能自动生成SQL语句的功能和新的ActiveX数据对象ADO。
新的语言特征包括:
用户自定义类型可以作为参数或作为公共属性的方法的返回值;函数可以返回数组变量;动态数组可以赋值;文件系统对象;按名调用(CallByName);增强的创建对象函数(CreatObjectFuntionEnhancements);增强的StrConv函数。
(2)API技术
所谓API(ApplicationProgramingInterface)用标准的定义来讲,就是Windows的32位应用程序编程接口,是一系列很复杂的函数,消息和结构,它使编程人员可以用不同类型的编程语言编制出的运行在Windows系列操作系统上的应用程序。
API说来说去,就是一种函数,他们包含在一个附加名为DLL的动态连接库文件中。
(3)Modnetstat功能模块
OptionExplicit
PublicMIBICMPSTATSAsMIBICMPSTATSTypesandfunctionfortheICMPtable
PublicTypeMIBICMPSTATS
dwEchosAsLong
dwEchoRepsAsLong
EndType
PublicMIBICMPINFOAsMIBICMPINFO
PublicTypeMIBICMPINFO
icmpOutStatsAsMIBICMPSTATS
EndType
PublicMIB_ICMPAsMIB_ICMP
PublicTypeMIB_ICMP
statsAsMIBICMPINFO
EndType
PublicDeclareFunctionGetIcmpStatisticsLib"iphlpapi.dll"(pStatsAsMIBICMPINFO)AsLong
PublicLast_ICMP_CntAsIntegerTypesandfunctionsfortheTCPtable:
TypeMIB_TCPROW
dwStateAsLong
dwLocalAddrAsLong
dwLoc
升级会员 