VC Windows简单防火墙设计设计与实现

摘要随着互连网的高速发展，网络给我们带来了极大的方便。人们的学习、工作以及生活越来越依赖于计算机网络，随之也出现了许多网络安全问题，因此当前网络安全产品备受人们的重视。防火墙是保障系统安全的一种有效手段，它可以将个人电脑与不完全的网络隔离开，按照预先设定的规则决定是否允许数据包通过，以此保障了个人电脑的安全。本毕业设计是基于Windows 2000操作系统、DDK for Windows2000工具开发包及Visual C++6.0平台开发的简单防火墙系统。系统主要分为两个模块：过滤钩子驱动模块和用户操作界面模块。过滤钩子驱动模块主要功能是注册过滤钩子回调函数，并按照用户提供的过滤规则进行数据包的过滤；用户操作界面模块的主要功能是实现用户添加、删除过滤规则，同时允许用户以文件的形式保存所添加的过滤规则。关键词：防火墙；包过滤；钩子；回调函数1 引言1.1 课题背景Internet的出现及迅速发展给现代人们的生产和生活都带来了前所未有的飞跃。互连网已经成为扩展个人和企业发展的重要工具，人们已经进入了信息时代。互连网将整个人类社会缩小成了一个村落——“地球村”，促进了信息的交流，提高了人们的工作效率，丰富了人们的生活。人们享受着信息时代带来的种种便利，体验着互联网带来的生活上的全新感受。但凡事有利必有一弊，随着对网络的依赖越来越大，网络安全问题也越来越明显。由于黑客攻击和信息泄露并不是直接对系统造成损害，所以往往不能引起人们的注意。人们总是在网络安全问题发生带来严重后果后，才意识到网络安全的重要。随着网络的进一步普及，网络安全产品逐渐地进入人们的视野，而防火墙作为把守用户安全大门的重要工具，越来越受到人们的重视。1.2 国内外研究现状自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数家公司推出了功能各不相同的防火墙产品系列。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。1.3 本课题研究的意义目前市场上大多数的防火墙产品仅仅是网关型的，虽然它们的功能相当强大，但由于它们基于下述的假设：内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主机之间的安全通信，也不能很好的解决每一个拨号用户所在主机的安全问题，而大多数个人上网之时，并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗；对主机大量发送IP数据包进行轰炸攻击，使之崩溃；以及蓝屏攻击等。因此，为了保护主机的安全通信，研究有效的个人防火墙技术很有必要。1.4 设计过程防火墙是对所截取的数据包按用户定义的规则进行过滤的，所以要开发设计一个防火墙，第一步要实现对数据包的截取。如果数据包的拦截没有实现，那么分析、过滤等就是空谈。截获数据包有很多种方法，首先想到了Winpcap(Windows Packet Capture)，它是Windows平台下的一个免费、公共的网络访问系统。但后来发现其主要功能在于独立于主机协议（如TCP/IP）而发送和接收原始数据。也就是是说，Winpcap不能阻塞、过滤或控制其他应用程序数据包的收发，它仅仅是监听共享网络上传送的数据报。因此，把它用于开发个人防火墙将会比较困难。虽然用户态下实现数据包捕获比较容易，但其拦截数据包有一些局限性，一个最大的缺点就是只能在Winsock层次上进行，而对于网络协议中底层协议的数据包无法进行处理。而利用驱动程序来拦截数据包，虽然功能很强大，但实现起来比较困难。做折中比较后，在用驱动程序拦截数据包的方法中选择了一个最简单的方法：使用Win2000 DDK中提供的Filter-Hook Driver来实现数据包的过滤。2 客户端应用程序用户程序的核心实现就是使用类向驱动程序发送几个设备控制代码（START_IP_HOOK(安装过滤钩子)、STOP_IP_HOOK（清除过滤钩子）、ADD_FILTER（安装过滤规则）、CLEAR_FILTER(卸载过滤规则)）。程序在初始化时加载过滤钩子驱动，当用户单击开始按钮时向驱动发送START_IP_HOOK安装过滤钩子，单击停止按钮时发送STOP_IP_HOOK控制代码清除过滤钩子。用户单击添加过滤规则弹出添加规则对话框，为用户提供添加过滤规则的输入界面，单击删除时则实现删除用户选定的过滤规则；当用户单击安装规则和卸载规则时，则分别发送控制代码ADD_FILTER和CLEAR_FILTER来实现过滤规则的加载或者卸载。2.1 界面设计此模块工程是一个基于对话框的MFC应用程序。首先建立一个MFC的界面工程。完成后的主程序界面如图4。用户可以单击“开始过滤”和“停止过滤”来决定数据过滤的开始与停止。单击“安装规则”按钮可以把用户添加的规则加载到过滤驱动钩子驱动程序，单击“卸载规则”按钮则可以把所加载的过滤规则全部卸载。

包含资料： 【买计算机毕业论文就到计算机毕业论文网】 think58 [资料来源：http://THINK58.com]

think58

[版权所有：http://think58.com]

源程序+论文（15000字以上）+可执行程序+答辩稿ppt+开题报告+外文翻译
[来源：http://think58.com]

获取资料请您联系本站客服

copyright think58 [版权所有：http://think58.com]