ourfirewall防火墙实时监控系统设计论文毕设论文.docx

1、ourfirewall防火墙实时监控系统设计论文毕设论文Ourfirewall2004防火墙系统开发小组：李 骞 计算机科学与技术 2000级2班李 琳 计算机科学与技术 2000级2班王重英 计算机科学与技术 2000级2班郭金巧 计算机科学与技术 2000级3班指导老师：吴振强 副教授张 莉 老师 摘要：本文着重介绍“OurFirewall2004”防火墙系统：该OurFirewall2004是一个基于TCP/IP协议的网络应用系统，它提供了一个网络实时监控、数据包过滤、日志记录、安全级别设置等功能，为网络安全的控制提供了重要手段。关键字： 网络监控 包过滤 API（应用程序编程接口） 动

2、态链接库（DLL） 网络侦听 日志记录 安全级别Abstract：In this paper ,we present our firewall system which is“OurFirewall2004”: it is a network application system based on TCP/IP, it supplies many functions such as network monitor , Packet filtering， the daily recording, the grades of security and so on.It gives out an i

3、mportant method for the control of network security. Key word ：The network supervises and control The data pack filtering Dynamic Link LibraryAPI（Application Programming Interface）Network Listening Daily record Security Grade目录摘要 1防火墙简介 3 前 言 3 网络安全状况 3防火墙是什么3防火墙能干什么4防火墙采用哪些技术4第一部分 系统说明6一、 系统简介 6二、系

4、统基本功能 7第二部分系统开发环境与工具的选择 8第三部分 系统设计 9一、系统概要设计 9二、系统详细设计 91、系统流程图的设计 102、功能实现的设计 10第四部分 各部分的技术和关键代码 12一、 实时监控 12二、 过滤 22三、 安全日志 22四、 安全级别 22第五部分 使用说明 22一 、安装与卸载 22 二、具体使用说明 23第六部分：系统测试 24第七部分：系统维护 25第八部分：结束语 25参考资料 26附录 26防火墙简介：软件名称：OurFirewall2004防火墙软件分类： 网络安全工具-2004防火墙出版日期： 2004-05-26版 本： V1.0版操作系统：

5、 Windows 2000/NT(sp6)/98/ME/XP语言界面： 简体中文原创单位： 陕西师范大学计算机科学学院2000级学校网址： 防火墙个人版是一款由2000级学生毕业设计制作的网络安全程序。它根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的包过滤、网络实时监控、安全级别设置、日志审计等功能。目前的版本是v1.0版本。由于时间仓促，该防火墙在许多方面还有待于进一步改善。前 言网络安全状况随着计算机网络的发展，以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,计算机网络的资源共享进一步加强,应用层次正在深入,应用领域

6、从传统的、小型业务系统逐渐向大型、关键业务系统扩展,但是在提高信息利用率的同时，也给计算机网络系统的安全性和保密性带来了前所未有的挑战。事实上internet存在严重的安全漏洞,2000年初，黒客大规模袭击雅虎、亚马逊等电子商务网点,网站一度陷入瘫痪;国内新浪、163等网站也曾遭遇黒客的攻击。据估计,目前Internet的600多万台主机大约有半数以上经受着入侵的威胁,这是因为Internet网络属于公共服务的网络系统,以Unix操作系统为主,任何人都能非常容易地在网络上漫游并实施入侵。原本安全的企业网络连入Internet后,如不加防范措施,将极易遭受到入侵者的侵犯,造成专有资源的流失甚至网

7、络的瘫痪。由此网络安全问题很现实地摆在我们面前.即网络安全需要能针对各种不同的威胁和脆弱性提供全方位的解决方案，确保网络的保密性、完整性、可行性。迫于这种情况，各大网站、企业纷纷加筑安全的战壕，而这个战壕就是防火墙。那么到底什么是防火墙？防火墙能干什么？它采用了哪些技术？什么是防火墙？防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。在逻辑上，防火墙是隔离器、限制器、分析器，有效地监控了内部网和外部网的任何活动。在物理上，防火墙即可以是单纯的硬件设备路由器、主计算机，也可以是软件产品，

8、还可以是路由器、计算机和配有软件的网络的组合。防火墙逻辑位置示意图防火墙能干什么？ 防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄防火墙有哪些技术？ 防火墙技术从原理上主要分为三种：信息包过滤技术（Packet filter）、代理技术（Proxy）、状态分析技术（Sstateful inspection）。 包过滤技术分为静态包过滤和动态包过滤技术。 静态包过滤技术是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。 静态包过滤技术示意图 动态包过滤技术是采用动态设置包过滤规则的方法，对通过其建立的每一个连接都进行

9、跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 动态包过滤技术示意图 代理技术分传统代理技术和自适应代理技术 传统代理技术的防火墙是将代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好象是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。 传统代理技术示意图自适应代理技术结合了代理型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础上将代理型防火墙的性能提高十倍以上。 传统代理技术示意图 状态检测技术，它克服了包过滤技术和应用代理技术的局限性,状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安

10、全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。这种防火墙的优点是一旦某个访问违反安全规定就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用和用户数据报之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。 状态检测技术示意图 第一部分：系统说明一、系统简介我们所开发的“OurFireWall2004”防火墙系统是一个基于TCP/IP协议的网络应用系统，它提供了网络实时监控、数据包过滤、日志记录、安全级别设置等功能，在系统底层、网络层和应用层对系统进行双重保护，有效地保护内

11、部网络，使其免受来自外部的攻击。为个人PC 提供强有力安全屏、为网络安全的控制提供了重要手段。“OurFirewall2004”采用了包过滤技术，有效地实现了基于IP地址的过滤、远程以及本地端口的过滤. “OurFirewall2004”能够强制日志记录（LOG）。由于该防火墙上具有日志服务功能，用户或安全管理员可以监视所有从外部网或互联网的访问，日志记录是全面掌握网络安全状况、衡量防火墙性能和作用的重要手段。 “OurFirewall2004”提供不同级别的安全设置。由于不同的对象对安全级别的要求有所不同，本系统为用户提供了四个安全等级。“OurFirewall2004”能够对当前网络与本机

12、的通讯状况进行侦听、监控，由此可分析网络性能、排除网络故障。“OurFirewall2004帮助”能够系统引导用户安装、使用、卸载防火墙，为用户提供便利。二、系统基本功能1、过滤远程IP、远程端口（remote port）、本地端口（local port） 包过滤是在网络层对数据包的目标地址、以及包所使用的端口确定是否允许该类数据包通过。如果防火墙设定禁止访问某一IP或端口的话，从这个IP地址或端口而来的所有信息都会被防火墙阻断。换句话讲，利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。2、添加需要拦截的IP、远程端口、本地端口由于一些不良网站、不受欢迎

13、的网络地址（IP）或木马端口（PORT）的存在，用户可根据需要灵活添加过滤规则，来屏蔽网络地址和端口。3、删除IP、远程端口、本地端口 用户可根据个人需要来取消一些过滤规则。4、记录并显示访问时间、对方IP、对方端口、本地端口、访问方法。用户可以通过日志来查看和监视所有从外部网或互联网的访问，分析安全隐患，查证攻击来源。5、清除日志用户或网络管理人员将一些繁冗、无分析价值的日志信息删除，以便观察近期日志信息。6、设置安全级别本系统针对不同的对象对网络安全级别的要求有所不同，为用户提供了四个安全等级，用户可根据需要通过滑杆（Slider控件）灵活设置四个安全级别（由高到低依次为高、中、中低、低。

14、）以达到不同程度地保护用户安全的目的。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。中：安全浏览，具有安全功能，下载潜在的不安全内容之前给予提示，不下载未签名的ActiveX控件，实用于大多数internet站点。 中低：除了没有提示外，其它和中级安全级基本相同，大多数内容运行时都没有提示，不下载未签名的ActiveX控件，适用于本地网络（INTERNET）上的站点。 低

15、：提供最小的安全措施和警告提示，下载大多数内容且无提示运行，下载大多数内容且无提示运行，可以运行所有所有的活动内容，通用于绝对信任的站点。7、智能警告 当安全级别设置为“高”时，系统会出现提醒： 阻隔IP 阻隔远程端口 阻隔本地端口 禁止访问当前站点所有内容 允许访问当前站点 8、系统默认安全级别设置 由于一般用户对计算机网络安全没有概念，也没有较高的要求，默认安全级别是最好的选择。9、局域网内的连接 用户可根据需要，选择是否接受局域网内的连接。10、实时监控 能够监控本地tcp通讯端口状态,显示本地主机开放的端口号,远程主机的端口号,远程主机的IP地址等信息。具体功能如下： 监控远程IP、远

16、程端口（remote Port）、本地端口（local port） 监控网络状态 第二部分 系统开发环境与工具的选择设计一个系统时，首先需要确定它的开发环境和开发工具，现在网上系统的开发可以采用各种各样的环境和工具，他们相互之间进行比较都有各自的长处，我们对系统开发的环境、工具及底层数据库都进行了仔细的比较，最后确定用以下的开发环境和工具完成本系统的开发：一、开发环境：软件环境：中文windows98以上环境 硬件环境：PC兼容机Intel x86至少32MB RAM，建议64M至少4MB磁盘空间，建议16M二编程工具的选择 在进行系统开发工具的选择时，根据自身对技术的掌握程度以及接受能力，我

17、选择了微软公司开发的Visual Basic作为主要的开发工具，用它开发系统有如下诸多的好处和特点：1界面设计简单2面向对象编程，比较容易实现3很容易调用Windows自身的函数4后台存取规则容易5所见即所得 在开发的过程中，我们还用到的其他的一些软件，如Photoshop处理一些图片，加载到我们的界面中美化视觉。第三部分 系统设计一系统概要设计通过可行分析，我们确定了系统的可实现性，而通过需求分析后，我们更进一步的明确系统必须实现的功能，接下来要完成的工作就是根据系统的需求分析把要实现的功能结构化，具体化，也就是设计系统的结构，进行模块的划分，确定各个模块的功能，接口。由于时间的关系我们不能

18、很好地完成Firewall的所有功能，所以该系统在设计之初便定义七个模块，以后再逐步扩展和根据网络的需要逐渐更新，而且几个模块各个部分的实现功能都比较简单： 1、基本功能（见 页系统说明部分的基本功能）2、增强功能21代理服务: 为其他主机提供Http,ftp,telnet,代理服务22用户可以自己选择本地代理服务器的端口号及服务类型:HTTP,FTP,TELNET等23实时监控使用此代理服务的客户机的状态: XX客户机的XX端口正在跟远程XX主机的XX端口建立连接 XX客户机正在跟远程XX主机XX端口断开连接24用户可以手动停止和开启各种代理服务功能。二系统详细设计我们的设想是需要一套全面的

19、、重要的适合我们自己的的网络安全系统。它根据系统管理者设定的安全规则（Security Rules）把守企业网络，提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网（VPN）、身份认证、虚拟网桥、网络地址转换（Network Address Translation）、提供完善的安全性设置，通过高性能的网络核心进行访问控制的功能我们决定进一步来实现。我们采用了VB管理界面，通过直观、易用的界面管理强大、复杂的系统功能。系统采用中国化的设计，界面全中文化，操作简单直接，真的是量身定做。在概要设计中，我们已经粗略分析了本系统的设计，在此我们将详细的分析系统的实现方案

20、，详细设计阶段的任务就是把解法具体化，设计出程序的详细规格说明。开发本系统时可以跟据它有条理的编写程序。在得到了解决方案之后，我们即开始了流程图和功能实现的设计。 1、系统流程图的设计 2、功能实现的设计确定系统的流程图后，就要开始着手底层功能实现的设计，只有完成功能的架设后才能在以后的编程中对信息的操作有所依据。在进行本系统功能的架设时我们选择的是VB。因为它使用方便、界面简单且在各方面能满足系统的要求。在进行功能架构时，一般要遵循以下的规则：（1）尽量减少手动操作次数按钮个数以及功能的分配的选择当然要处于最合理状态，整体功能的实现也要尽量使用户很容易找到所需资源，并且着手操作。（2）结构设

21、计与操作设计相结合在设计系统时，有时为了编程实现的简洁和思路的清晰，往往故意增加一些代码的冗余。这虽然有悖于传统的编程理论，但是考虑到显示与阻隔的方便，对功能的实现有很大的好处，往往采用这种方法。（3）使各种信息详尽化管理员要根据日志列表分析有可能是攻击本级计算机的地址，所以我们要在获取信息是使其尽可能的详尽化，当然我们也可以对访问超过一定次数的地址进行记录然后自动阻隔，这样既方便用户，也方便管理员查看。但由于时间的紧迫性作为下一步的目标来实现，在这里仅仅将日至一个不漏的显示出来。（4）、界面的风格化 主界面 安全级别界面第四部分 各部分的技术和关键代码一、 实时监控 1、引入由于网络所固有的

22、开放性、自由性，从网络建立开始就存在网络安全及防护问题。网络系统安全的脆弱性，使得计算机黑客在网上的非法攻击活动每年以成倍速度增长。他们利用网络的漏洞和缺陷，进行各种非法活动：产生和传播各种计算机病毒，非法侵入用户计算机网络，恶意破坏，制使网络瘫痪等，不但造成巨大的损失，还威胁到用户的计算机安全。我们开发的“Ourfirewall2004”具有实时监控的功能，可有效地监视外来的恶意攻击，避免受到非法访问和探测。防火墙实时监控的主要目的有两方面：及时发现网络存在的不安全因素和及时发现对网络入侵和敌意的攻击活动，采取相应的措施。详细地说防火墙监控的主要目的是发现对网络的非法攻击。其基本原理是：监视

23、网络上的通信数据流，捕捉和分析可疑的网络活动，发现网络上存在的不安全活动，进行实时的报警和处理，提供详细的网络安全日志分析报告。它是防火墙重要而强大的功能。是对付愈演愈烈的网络黑客攻击和各种计算机犯罪的一种强有力的手段。2、原理监控包括两个方面的含义：监视和控制。也就是说，防火墙实时监视着来自外部网络的一切不安全因素，对此做出反应和判断，进一步进行控制和处理。由此可分析网络性能、排除网络故障。众所周知，一个网络防火墙是处于内/外网络中间，内/外网络通信的所有数据都被网络防火墙接收到，然后就可以进行分析、判别、统计等必要的操作。它可被认为是连接内部网络和外部网络的透明网关。网络防火墙会收集所有流

24、通到此的数据包，对它们的源地址、目的地址、封装协议（TCP、UDP、ICMP、IP Tunnel等）、TCP/UDP源端口号和目的端口号、输入输出接口等信息进行分析，确定其是否与用户事先设定好的安全机制相匹配，以决定允许或拒绝该数据包的通过。有效地阻截来自Internet对内部网络的入侵。其主要工作流程图如下所示：数据包在防火墙中过滤的流程图 当数据包进入数据包过滤防火墙，首先需要进行的是数据包完整性检查，以确定包在传输中是否有误。由于防火墙只根据包头中所包含的信息来匹配过滤规则表，因此有时一些畸形包会使防火墙产生迷惑，故那些被怀疑是不完整的数据包在此之前应被抛弃。这一检查常用于对付黑客的碎片

25、攻击。 被认为是完整的数据包才能接受防火墙的输入过滤规则表的检查，如不允许该数据包通过，该数据包将被抛弃，反之，数据包将进一步接受路由器的检查。 防火墙内的路由表根据数据包中包含的目的信息决定数据包是否需要转发，如需要转发，数据包还需要接受规则表的检查，这一过程是用于防范黑客的路由攻击。最后，所有的数据包（无论是否需要转发）在离开防火墙前均还需要接受输出过滤规则表的检查。3、用到的技术和功能模块（1） VB技术 Visual Basic 指的是开发图形用户界面的方法，Basic指的是BASIC（Beginners All-purpose Sysbolic Instruction Code）语言

26、-一种在计算技术发展史上应用最广泛的计算机语言。Microsoft Visual Basic提供了开发Microsoft Windows应用程序最迅速最快捷的方法。 我们用VB做为工具来开发Ourfirewall2004，是因为VB具有如下优点：语句生成器和快速提示帮助是用户不必即以成千上万的属性和方法，在较短的时间内就能开发出功能强大的应用程序。在Visual Basic 6.0中，Internet应用程序的开发功能更强大和容易。在应用程序内可以通过Internet或Internet访问其他计算机中的文档和应用程序；可以创建Internet服务器应用程序，包括IIS应用程序；支持动态HTML

27、技术(DHTML)的应用程序；具有Web应用程序发布功能等。种类繁多、功能强大的多媒体控件，能帮助用户在较短时间内用较少的语句编写出图文声像并茂的多媒体程序。Visual Basic 6.0在数据库处理功能上有较大增强，能对多种数据库进行读写操作。另外它所提供的可视化数据管理器能帮助用户构造多种类型的数据库，同时提供了能自动生成SQL语句的功能和新的ActiveX数据对象ADO。新的语言特征包括：用户自定义类型可以作为参数或作为公共属性的方法的返回值；函数可以返回数组变量；动态数组可以赋值；文件系统对象；按名调用（CallByName）；增强的创建对象函数(CreatObject Funtio

28、n Enhancements)；增强的StrConv函数。（2） API技术 所谓API（Application Programing Interface）用标准的定义来讲，就是Windows的32位应用程序编程接口，是一系列很复杂的函数，消息和结构，它使编程人员可以用不同类型的编程语言编制出的运行在Windows系列操作系统上的应用程序。API说来说去，就是一种函数，他们包含在一个附加名为DLL的动态连接库文件中。 （3）Modnetstat功能模块Option ExplicitPublic MIBICMPSTATS As MIBICMPSTATS Types and function fo

29、r the ICMP table Public Type MIBICMPSTATS dwEchos As Long dwEchoReps As LongEnd TypePublic MIBICMPINFO As MIBICMPINFOPublic Type MIBICMPINFO icmpOutStats As MIBICMPSTATSEnd TypePublic MIB_ICMP As MIB_ICMPPublic Type MIB_ICMP stats As MIBICMPINFOEnd TypePublic Declare Function GetIcmpStatistics Lib iphlpapi.dll (pStats As MIBICMPINFO) As LongPublic Last_ICMP_Cnt As Integer Types and functions for the TCP table:Type MIB_TCPROW dwState As Long dwLocalAddr As Long dwLoc