校園網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計與實現(xiàn)

題目校園網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計與實現(xiàn)_____學生姓名肖旭坤學號1213014060________所在學院物理與電信工程學院___________________專業(yè)班級電子1202班__________________________指導教師李菊葉_______________________________完成地點物電學院計算機信息處理分室____________2016年6月1日畢業(yè)論文﹙設(shè)計﹚任務(wù)書院(系)物電學院專業(yè)班級電子信息工程學生姓名肖旭坤__一、畢業(yè)論文﹙設(shè)計﹚題目校園網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計與實現(xiàn)______二、畢業(yè)論文﹙設(shè)計﹚工作自__2016__年_3_月10日起至_2016__年6月20日止三、畢業(yè)論文﹙設(shè)計﹚進行地點:物電學院計算機信息處理分室__四、畢業(yè)論文﹙設(shè)計﹚的內(nèi)容要求：隨著網(wǎng)絡(luò)的普及，人們的日常交流和生活將越來越多的依靠網(wǎng)絡(luò)來完成。無論是網(wǎng)上業(yè)務(wù)洽談，還是網(wǎng)上購物，都不可防止地面臨平安性問題。本設(shè)計要求學生對網(wǎng)絡(luò)互連協(xié)議—TCP/IP協(xié)議存在的平安問題及Internet網(wǎng)的不平安性進行分析，并利用VisualC++作為開發(fā)工具，設(shè)計了一個基于包過濾技術(shù)的防火墻系統(tǒng)。五、畢業(yè)論文﹙設(shè)計﹚應(yīng)收集資料及參考文獻：[1]徐孝凱，張紀勇.C++面向?qū)ο蟪绦蛟O(shè)計：VC++6.0運行環(huán)境[M].天津大學出版社2009.[2]汪曉平,鐘軍.VC++網(wǎng)絡(luò)通信協(xié)議分析與應(yīng)用實現(xiàn)[M].北京:人民郵電出版社,2003.[3]王艷平,張越.Windows網(wǎng)絡(luò)與通信程序設(shè)計[M].北京:人民郵電出版社,2006.[4]AndrewS.Tanenbau.計算機網(wǎng)絡(luò)(第四版)[M].北京:清華大學出版社,2004.[5]謝希仁.計算機網(wǎng)絡(luò)(第五版)[M].北京:電子工業(yè)出版社,2012.[6]朱桂英.張元亮VisualC++網(wǎng)絡(luò)編程開發(fā)與實踐[M].清華大學出版社.2013.六、畢業(yè)論文﹙設(shè)計﹚的進度安排：3月2日——3月29日：查閱資料，完成初步設(shè)計方案和開題報告。4月1日——4月26日：根據(jù)網(wǎng)絡(luò)防火墻系統(tǒng)的工作原理，給出設(shè)計方案，及軟件流程圖。4月29日——5月24：并在軟件環(huán)境下進行運行調(diào)試，進一步完善系統(tǒng)功能，整理資料；5月27日——6月7日：撰寫、修改畢業(yè)設(shè)計論文。6月10日——6月15日：打印論文準備并完成辯論。指導教師簽名系(教研室主任簽名專業(yè)負責人簽名批準日期校園網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計與實現(xiàn)肖旭坤〔陜西理工學院物理與電信工程學院電子信息工程專業(yè)，2012級2班，陜西漢中723000〕指導教師：李菊葉[摘要]隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)用戶的日益增多。網(wǎng)絡(luò)平安問題變得日趨重要，人們對于互聯(lián)網(wǎng)的平安性也就越來越關(guān)注。防火墻的種類很豐富，本設(shè)計主要基于Filter-HookDriver回調(diào)函數(shù)與在VisualC++6.0的環(huán)境下對TCP/IP協(xié)議的漏洞進行分析，用IP識別并標記的規(guī)那么來實現(xiàn)包過濾，從而到達防火墻的效果。作為維護網(wǎng)絡(luò)的平安性關(guān)鍵設(shè)施，防火墻采取在可靠與不可靠網(wǎng)絡(luò)之間建立障礙的目的，并落實相應(yīng)的平安策略。[關(guān)鍵字]防火墻;IP;VisualC++6.0;Filter-HookDriver;DesignandimplementationofcampusnetworkfirewallsystemXiaoXukun〔Grade12,Class02,Majorelectronicsandinformationengineering,SchoolofPhysicsandTelecommunicationEngineering,ShaanxiUniversityofTechnology,HanZhong723000,Shaanxi〕Tutor:LiJuyeAbstract：WiththepopularityofInternetandthegrowingnetworkusers.Networksecurityproblemiscoming,Increasinglyimportant,peoplearepayingmoreattentiononthesecurityofNetwork.TherearevariousFirewallonInternet.ThisdesignmainlyanalyzetheloopholesofTCP/IPprotocolandisbasedontheenvironmentofVisualC++6.0.ThroughIPrecognizingandmarkingrulesaccomplishingpacketfiltering,soasakindofFirewall.Asthekeyfacilitythatmaintainsthenetworksecurity,firewallstakethepurposeofstablinganobstaclebetweentrustandtrustlessnetwork,andputcorrespongdingsafetystrategyintopractice.Keywords:Firewall;IP;VisualC++6.0;Filter-HookDriver;目錄1引言11.1背景11.2研究目的11.3開發(fā)環(huán)境及語言11.3.1VisualC++11.3.2開發(fā)語言VC++21.3.3Winsock21.4防火墻原理32防火墻的類型42.1防火墻的結(jié)構(gòu)42.1.1Packetfilter52.1.2Proxy62.2防火墻的開展趨勢和現(xiàn)狀63防火墻技術(shù)的設(shè)計和實現(xiàn)73.1防火墻的設(shè)計73.1.1回調(diào)函數(shù)73.1.2程序的結(jié)構(gòu)與類73.2程序流程圖83.3設(shè)計的實現(xiàn)83.3.1Filter-HookDriver的注冊8主程序框架的設(shè)計93.4設(shè)計細節(jié)114軟件測試135結(jié)束語14致謝15參考文獻16附錄A17附錄B221引言防火墻是在一個整體系統(tǒng)，他主要是設(shè)置在網(wǎng)絡(luò)之間的平安區(qū)域內(nèi)或是不同網(wǎng)絡(luò)之間，它的作用是操控網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的訪問，可以根據(jù)設(shè)置的訪問規(guī)那么控制網(wǎng)絡(luò)信息的傳輸。它的本體也有相當程度的抗入侵能力[1]。防火墻必在保證內(nèi)部網(wǎng)絡(luò)運作的同時，防范未經(jīng)同意的外部節(jié)點訪問內(nèi)部網(wǎng)絡(luò)。雖然Firewall的類型有各種各樣的。但就原理根本可以分為兩類，一類基于Packetfilter〔包過濾型〕原理，另一種基于ProxyService〔代理效勞〕原理。區(qū)分他們的原理在于基于Packetfilter的防火墻一般來說直接將報文轉(zhuǎn)發(fā)，它在用戶是完全開放狀態(tài)，速度較快，而基于Proxy的Firewall那么不是如此，它通過代理效勞來建立連接，它可以有更強的身份驗證〔Authentication〕和注冊〔log〕功能。1.1背景校園網(wǎng)是一個開放的、控制機構(gòu)相對較弱的網(wǎng)絡(luò)，惡意的攻擊時常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)。校園網(wǎng)的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的平安措施。校園網(wǎng)上的通信業(yè)務(wù)大多數(shù)使用的是Windows操作系統(tǒng)來支持，Windows操作系統(tǒng)中存在一定的平安脆弱性問題，會直接影響平安效勞。隨著校園內(nèi)計算機應(yīng)用的大范圍普及，介入校園網(wǎng)節(jié)點日益增多，而這些借點大局部都沒有采取一定的保護措施，隨時有可能造成病毒泛濫、信息喪失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果。1.2研究目的隨著越來越多的校園網(wǎng)投入運行和連入Internet，校園網(wǎng)的平安管理問題越來越突出，為保證網(wǎng)絡(luò)的平安性，保證信息和數(shù)據(jù)的平安性也同時保護了信息管理系統(tǒng)，必須確保有平安和堅強的防火墻系統(tǒng)。目前，防火墻產(chǎn)品在市面上有各種，“XX電腦管家等”這些產(chǎn)品都包含有包過濾功能和平安審核等功能，有些還有入侵監(jiān)測、代理、IP轉(zhuǎn)換、鎖定地址等功能，性能能不一，但大多數(shù)都不是很廉價，為了節(jié)省開銷，同時又要求網(wǎng)絡(luò)的平安運行得意保障，因此，設(shè)計并實現(xiàn)經(jīng)濟實用的復(fù)合型多功能防火墻系統(tǒng)是最好的方法，應(yīng)用實踐證明，這樣的系統(tǒng)在一定程度上能夠保證校園網(wǎng)絡(luò)的平安需求。1.3開發(fā)環(huán)境及語言本文中防火墻的開發(fā)使用的語言是C++和Winsock網(wǎng)絡(luò)編程，使用的軟件是VisualC++6.0。VisualC++VisualC++6.0,簡稱VC或者VC6.0，是Microsoft推出的一款C++編譯器，將人用語言翻譯為“機器語言”的應(yīng)用程序。VisualC++是一個可視化軟件開發(fā)工具并伴隨有強大的輔助功能。自1993年Microsoft公司推出VisualC++1.0后，隨著其新版本的更迭，VisualC++已成為專業(yè)軟件工程師開發(fā)軟件的首選。雖然微軟公司推出了VisualC++.NET(VisualC++7.0)，但它似乎有非常大的兼容性問題，只適用于Windows2000、WindowsXP和WindowsNT4.0。所以實際中，更多的是以VisualC++6.0為平臺。VisualC++6.0不僅是一個C++編譯器，而且是一個基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境〔integrateddevelopmentenvironment，IDE〕。VisualC++6.0由許多組件組成，包括編輯器、調(diào)試器以及程序向?qū)2]。AppWizard、類向?qū)lassWizard等開發(fā)工具。這些工具通過一個被稱為DeveloperStudio的組件整合為和諧的開發(fā)環(huán)境。主要局部：DeveloperStudio，這是一個高度集成開發(fā)平臺，我們的工作99%都是依附于它完成的，由于它的標題是“MicrosoftVisualC++”，大多數(shù)人就直接認為，那便是VisualC++了。其實并不是這樣，盡管DeveloperStudio提供了一個很完整的編輯器和Wizard，但事實上它沒有編譯和程序鏈接的功能，真正完成這些工作的。DeveloperStudio并不是用于VC專屬的，它也同樣可以用于VB，VJ，VID等VisualStudio家族的其他同胞兄弟。所以不要把DeveloperStudio當成VisualC++，它充其量只能是算作VisualC++的一個殼子而已。這一點請切記！MFC。從理論上來講，MFC也不是專屬于VisualC++，BorlandC++，C++Builder和SymantecC++同樣的可以處理MFC。同時，用VisualC++編寫程序代碼也并不一定要用MFC，只要可以，用VisualC++來編寫SDK程序，或是使用STL，ATL，一樣沒有限制。不過，VisualC++本來就是為MFC打造的，VisualC++中的許多特征和語言擴展功能也是為MFC而設(shè)計的，所以用VisualC++而不用MFC就等于放棄了VisualC++中絕大的一局部功能。即使這樣，VisualC++也不等于MFC。PlatformSDK。這才是VisualC++和整個VisualStudio的核心和靈魂，雖然我們很少能直接接觸到它。大致說來，PlatformSDK是以MicrosoftC/C++編譯器為精華〔不是VisualC++，看清楚了〕，配合MASM，輔以其他一些工具和文檔資料[3]。1.3.2開發(fā)語言VC++底層開發(fā)最適合使用的是C語言，其與運行速度密不可分。運行在底層的程序要有很高的效率，C語言對于內(nèi)存的處理具有這個能力。其中Winsock可以進行網(wǎng)絡(luò)通信的編寫。1.3.3Winsock從1991年的1.0版到1995年的版，經(jīng)過不斷完善并在Intel、Microsoft、Sun、SGI、Informix、Novell等公司的全力支持下，已成為Windows網(wǎng)絡(luò)編程的事實上的標準。以U.C.Berkeley大學BSDUNIX中流行的Socket接口為范例定義了一套microsoftWindows下網(wǎng)絡(luò)編程接口。它不僅包含了人們所熟悉的BerkeleySocket風格的庫函數(shù)；也包含了一組針對Windows的擴展庫函數(shù)，以使程序員能充分地利用Windows消息驅(qū)動機制進行編程。WindowsSockets標準本意在于提供給應(yīng)用程序開發(fā)者一套簡單的API,并讓各家網(wǎng)絡(luò)軟件供給商共同遵守。此外，在一個特定版本W(wǎng)indows的根底上,WindowsSockets也定義了一個二進制接口(ABI)，以此來保證應(yīng)用WindowsSocketsAPI的應(yīng)用程序能夠在任何網(wǎng)絡(luò)軟件供給商的符合WindowsSockets協(xié)議的實現(xiàn)上工作。因此這份標準定義了應(yīng)用程序開發(fā)者能夠使用，并且網(wǎng)絡(luò)軟件供給商能夠?qū)崿F(xiàn)的一套庫函數(shù)調(diào)用和相關(guān)語義。遵守這套WindowsSockets標準的網(wǎng)絡(luò)軟件，我們稱之WindowsSockets兼容的，而WindowsSockets兼容實現(xiàn)的提供者，我們稱之為WindowsSockets提供者。一個網(wǎng)絡(luò)軟件供給商必須百分之百地實現(xiàn)WindowsSockets標準才能做WindowsSockets兼容。任何能夠與WindowsSockets兼容實現(xiàn)協(xié)同工作的應(yīng)用程序就被認為是具有WindowsSockets接口。我們稱這種應(yīng)用程序為WindowsSockets應(yīng)用程序。WindowsSockets標準定義并記錄了如何使用API與Internet協(xié)議族(通常我們指的是TCP/IP)連接，要特別指出的是所有的WindowsSockets都對流的套接口和數(shù)據(jù)報的套接口支持。應(yīng)用程序是調(diào)用WindowsSockets的API實現(xiàn)相互之間的通信。WindowsSockets還應(yīng)用下層的網(wǎng)絡(luò)通訊協(xié)議功能和操作系統(tǒng)的調(diào)用完成實際的通訊工作。套接口：通信的根底是套接口(Socket)，一個套接口是通信的一端。在這一端上你可以找到與其對應(yīng)的一個名字。一個正在被使用的套接口都有它的類型和與其相關(guān)的進程。套接口存在于通訊域中。通訊域是為了處理一般的線程通過套接口通訊而引進的一種抽象概念。套接口通常和同一個域中的套接口交換數(shù)據(jù)〔數(shù)據(jù)交換也可能穿越域的界限，但這時一定要執(zhí)行某種解釋程序〕WindowsSockets標準支持單一的通訊域，即Internet域。各種進程使用這個域互相之間用Internet協(xié)議族來進行通訊〔WindowsSockets1.1以上的版本支持其他的域，例如WindowsSockets2)。套接口可以根據(jù)通訊性質(zhì)分類；這種性質(zhì)對于用戶是可見的。應(yīng)用程序一般僅在同一類的套接口間通訊。不過只要底層的通訊協(xié)議允許，不同類型的套接口間也照樣可以通訊。用戶目前可以使用兩種套接口，即流套接口和數(shù)據(jù)報套接口。流套接口提供了雙向的，有序的，無重復(fù)并且無記錄邊界的數(shù)據(jù)流效勞。數(shù)據(jù)報套接口支持雙向的數(shù)據(jù)流，但并不保證是可靠，有序，無重復(fù)的。也就是說，一個從數(shù)據(jù)報套接口接收信息的進程有可能發(fā)現(xiàn)信息重復(fù)了，或是和發(fā)出時的次序不同。數(shù)據(jù)報套接口的一個重要特征是它保存了記錄邊界。對于這一特征，數(shù)據(jù)報套接口應(yīng)用了與現(xiàn)在許多包交換網(wǎng)絡(luò)〔例如以太網(wǎng)〕非常相似的模型[4]。1.4防火墻原理防火墻是由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種獲取平安性方法的形象說法，使得Internet與Internet之間建立起一個平安網(wǎng)關(guān)〔SecurityGateway〕，這樣保護內(nèi)部網(wǎng)系統(tǒng)免受非法用戶的攻擊。防火墻根本是由訪問規(guī)那么、包過濾結(jié)構(gòu)、應(yīng)用網(wǎng)關(guān)和驗證工具4個模塊組成。防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的系統(tǒng)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。網(wǎng)絡(luò)中的“防火墻”是一項將和內(nèi)部系統(tǒng)和外部公共網(wǎng)絡(luò)〔如Internet〕區(qū)別開的的方法，實際上是一種將內(nèi)部隔離在外部的技術(shù)。防火墻是在兩個網(wǎng)絡(luò)系統(tǒng)通信時執(zhí)行的一種訪問控制規(guī)那么，它能允許你“允許”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不允許”的人和數(shù)據(jù)擋在外面，最大程度地阻止公共網(wǎng)絡(luò)中的惡意用戶來訪問你的網(wǎng)絡(luò)。換句話說，如果不透過防火墻，公司內(nèi)部系統(tǒng)網(wǎng)絡(luò)的人就無法訪問Internet,Internet上的人也不能與公司內(nèi)部的人進行通訊[5]。2防火墻的類型常見的“防火墻”從原理上分有兩類，分別是應(yīng)用于網(wǎng)絡(luò)層的防火墻和應(yīng)用在應(yīng)用層的防火墻。網(wǎng)絡(luò)層防火墻：可以將網(wǎng)絡(luò)層的防火墻視為一種對IP封包進行過濾的工序，運作在底層的TCP/IP協(xié)議堆棧段上。我們通過列舉的方式，只讓符合規(guī)定的數(shù)據(jù)包通過，其他的一律禁止通過防火墻。這些規(guī)那么一般是可以通過管理員自由定義或者自由修改的。但是有些防火墻系統(tǒng)也可能只能套用已經(jīng)存儲或是設(shè)置了的內(nèi)置的規(guī)那么。我們也能以其他的角度來制定防火墻規(guī)那么，只要封包不符合任何一項“否認規(guī)那么”，就予以通過?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備根本上都已內(nèi)置了防火墻的功能，版本性能比擬現(xiàn)金的防火墻能利用封包的多種屬性來進行過濾，比方說源IP地址、源端口號、目的IP地址和目的端口號、效勞的類型等，也能經(jīng)由通信的協(xié)議、TTL值、來源的網(wǎng)域名稱或者網(wǎng)段等屬性來進行過濾。應(yīng)用層防火墻：應(yīng)用層的防火墻是在TCP/IP堆棧的“應(yīng)用層”上工作，你通過使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是FTP時的數(shù)據(jù)流都是歸屬于這一層。應(yīng)用層的防火墻可以攔截進入某應(yīng)用程序的所有數(shù)據(jù)包，并且封鎖其他的數(shù)據(jù)包〔通常是直接將封包丟棄〕。理論上，這一類的防火墻可以完全杜絕外部的數(shù)據(jù)入侵到受保護的系統(tǒng)中。防火墻通過監(jiān)測所有的數(shù)據(jù)包并找出不符合規(guī)那么的局部，不過就實現(xiàn)而言，這個方法即繁鎖又雜亂，故而大局部防火墻不會考慮以這種方法設(shè)計。XML防火墻是一種新形態(tài)的應(yīng)用層防火墻[6]。2.1防火墻的結(jié)構(gòu)分組包過濾技術(shù)的根底是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)是分組以“包”的形式傳輸?shù)?，每個封包都包含數(shù)據(jù)的源地址、目的地址、TCP/UDP源端口和目的端口等信息。分組包過濾技術(shù)就是根據(jù)系統(tǒng)內(nèi)部預(yù)先設(shè)計的過濾邏輯條件，查核數(shù)據(jù)流中的每一組數(shù)據(jù)，依據(jù)數(shù)據(jù)包的源地址、目標地址、TCP/UDP源端口號和目的端口號以及數(shù)據(jù)包頭中的標志位來確定是否允許通過，拒絕非平安站點的數(shù)據(jù)的來源。通過采用這種技術(shù)的防火墻的核心在于包過濾算法的設(shè)計。例如：在以太網(wǎng)中，得到的數(shù)據(jù)包大致是如下結(jié)構(gòu)：以太幀頭14個字節(jié)，放在PUCHAR結(jié)構(gòu)數(shù)組的第0個元素到第13個元素中，其中前六個字節(jié)是目的MAC地址，之后是六個字節(jié)源MAC地址，最后兩個字節(jié)是協(xié)議類型，通常的協(xié)議類型有0x080x00->IP，0x080x06->ARP，0x080x35->RARP，所以，可以通過數(shù)組的第12個元素和第13個元素來判斷協(xié)議類型，過濾規(guī)那么就是在這個根底之上建立。如果要過濾特定協(xié)議，只要在相應(yīng)的字節(jié)讀取數(shù)據(jù)，判斷是否符合要過濾的規(guī)那么即可[7]。分組過濾技術(shù)的優(yōu)點是邏輯簡單、速度快、易于安裝和使用，網(wǎng)絡(luò)性能和透明性好且價格廉價，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻不需要很多額外的費用。分組過濾技術(shù)的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號所代表的應(yīng)用效勞協(xié)議類型有所不同，故兼容性差【7】。應(yīng)用網(wǎng)關(guān)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用效勞協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制的輸入輸出通信環(huán)境進行嚴格控制，以防止內(nèi)部數(shù)據(jù)被竊取。另外，應(yīng)用層網(wǎng)關(guān)還負責對網(wǎng)絡(luò)交流的信息進行記錄，比方用戶登錄的時間，登錄的網(wǎng)址，用戶頻繁使用的網(wǎng)絡(luò)界面等。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻之間擁有一個共通性，它們都是根據(jù)特定的邏輯判定來決定是否對數(shù)據(jù)包放行。如果滿足邏輯條件，那么防火墻內(nèi)和外的計算機系統(tǒng)之間建立直接聯(lián)系，防火墻外的用戶就有直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)的時機，這有利于實施非法訪問和攻擊。應(yīng)用網(wǎng)關(guān)技術(shù)的優(yōu)點是可以在LAN機器上被透明配置、保護在一個或多個外部IP地址之后的許多機器，簡化管理任務(wù)、用戶到LAN的出入可以通過翻開和關(guān)閉NAT防火墻/網(wǎng)關(guān)上的端口來限制。應(yīng)用網(wǎng)關(guān)技術(shù)的缺點是一旦用戶從防火墻外連接了效勞，那么無法防止其蓄意活動。代理效勞也稱鏈路級網(wǎng)關(guān)或TCP通道。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的"鏈接"，由兩個終止代理效勞器上的"鏈接"來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理效勞器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理效勞也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保存攻擊痕跡。代理效勞技術(shù)的優(yōu)點是使管理員擁有對LAN之外的應(yīng)用程序和協(xié)議功能的控制權(quán)、某些代理效勞器可以緩存數(shù)據(jù)，因此當客戶存取頻繁請求的數(shù)據(jù)時，這些數(shù)據(jù)就可以從本地緩存調(diào)出而不必使用互聯(lián)網(wǎng)連接，這有助于減少不必要的帶寬用量、代理效勞可以被密切地監(jiān)視和記錄，從而允許在網(wǎng)絡(luò)資源用量方面進行更嚴格的控制。代理效勞技術(shù)的缺點是代理通常是應(yīng)用程序特有的〔HTTP、telnet等〕或在協(xié)議方面有限制的〔多數(shù)代理只能用于TCP連接的效勞〕、應(yīng)用程序效勞無法在代理后面運行，因此用戶的應(yīng)用程序效勞器必須使用另一種網(wǎng)絡(luò)保安措施、代理可能會成為網(wǎng)絡(luò)的瓶頸，因為所有的請求和傳輸都要經(jīng)過一個中介而不是讓客戶直接連接遠程效勞【7】。2.1.1Packetfilter包過濾技術(shù)(IPFilteringorpacketfiltering)的技術(shù)依據(jù)在于利用路由器監(jiān)視并將網(wǎng)絡(luò)上流出流入的不符合規(guī)那么IP包進行過濾，拒絕發(fā)送和接受可以的數(shù)據(jù)包。因為Internet的網(wǎng)絡(luò)鏈接很多都要應(yīng)用路由器，所以Router成為內(nèi)部與外部通信的必經(jīng)端口，Router的制造商在Router上參加IP過濾功能，過濾用路由器也可以被稱為包過濾路由器或篩選路由器〔PacketFilterRouter〕。一般的防火墻就是這樣一個具備包過濾功能結(jié)構(gòu)的簡單路由器，這種Firewall應(yīng)該是能夠滿足平安性要求的，但合理的前提是合理的規(guī)那么配置。可以一個或者一組包過濾數(shù)據(jù)規(guī)那么是否完全嚴密及是否必要是很難被人為判斷或判定的，因此在平安要求較高的場合，一般還要配合應(yīng)用其它的安保技術(shù)來加強平安性。包過濾技術(shù)是指網(wǎng)絡(luò)設(shè)備〔路由器或防火墻〕根據(jù)包過濾規(guī)那么檢查所接收的每個數(shù)據(jù)包，做出允許數(shù)據(jù)包通過或丟棄數(shù)據(jù)包的決定。包過濾規(guī)那么主要基于IP包頭信息設(shè)置，包括如下內(nèi)容：TCP/UDP的源或目的端口號協(xié)議類型：TCP、UDP、ICMP等源或目的IP地址數(shù)據(jù)包的入接口和出接口數(shù)據(jù)包中的信息如果與某一條過濾規(guī)那么相匹配并且該規(guī)那么允許數(shù)據(jù)包通過，那么該數(shù)據(jù)包會被轉(zhuǎn)發(fā)，如果與某一條過濾規(guī)那么匹配但規(guī)那么拒絕數(shù)據(jù)包通過，那么該數(shù)據(jù)包會被丟棄。如果沒有可匹配的規(guī)那么，缺省規(guī)那么會決定數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被丟棄。簡單包過濾：是對單個包的檢查，目前大局部路由器商品都能夠提供這樣的功能，所以如果你已經(jīng)擁有邊界路由器，那么完全沒有再購置一個具有簡單包過濾的防火墻產(chǎn)品的必要。由于這類技術(shù)無法跟蹤TCP的狀態(tài)，所以對TCP協(xié)議的控制是有缺陷的，比方當你的這樣的產(chǎn)品上設(shè)置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式進行攻擊。簡單包過濾的產(chǎn)品由于其保護的不完善[8]。狀態(tài)檢測包過濾：利用特制的狀態(tài)監(jiān)測表跟蹤每一對網(wǎng)絡(luò)會話的狀態(tài)，對每一個數(shù)據(jù)包的檢查不僅根據(jù)規(guī)那么表，又考慮到數(shù)據(jù)包是否滿足通信所處的狀態(tài)。因此提供了對傳輸層更完整的控制能力。同時又因為一系列技術(shù)優(yōu)化性能的采用，狀態(tài)檢測包過濾的性能也顯然要比簡單包過濾產(chǎn)品更優(yōu)，尤其是在一些復(fù)雜規(guī)那么的大型網(wǎng)絡(luò)上。優(yōu)勢：包過濾路由器能夠協(xié)助保護整個網(wǎng)絡(luò)系統(tǒng)。大局部Internet防火墻系統(tǒng)只需要一個包過濾路由器；它的運行速度快、執(zhí)行效率高。進行包過濾所需要的時間很短或甚至不需要什么時間，因為包過濾路由器只對數(shù)據(jù)包報頭相應(yīng)的字段進行檢查，一般情況下不查看數(shù)據(jù)報除報頭外的內(nèi)容，而且某些核心區(qū)域是由專門的硬件實現(xiàn)的，如果通信所需的負載適宜而且已經(jīng)定義的過濾規(guī)那么很少的話，那么對路由器性能沒有多大影響；包過濾路由器對于終端用戶和應(yīng)用程序是透明的。當數(shù)據(jù)包過濾路由器執(zhí)行決定讓數(shù)據(jù)包通行時，它和普通路由器沒什么區(qū)分，甚至用戶沒有意識到它的存在，因此不需要專門的用戶培訓或在每主機上設(shè)置特別的軟件。劣勢：定義與配置包過濾器很大程度上是一項繁雜且很難的工作。因此網(wǎng)絡(luò)管理員需要詳細的學習和了解Internet各種類型的效勞、包頭的格式和他們所希望的特定查找值的計算。假設(shè)是一定要支持復(fù)雜的過濾規(guī)那么要求的情況下，過濾規(guī)那么的集合可能會形成很復(fù)雜的情況，而且沒有什么可以用來檢驗過濾規(guī)那么正確性的工具。路由器對數(shù)據(jù)包的吞吐量會與過濾數(shù)量成反比。路由器用來從每一個數(shù)據(jù)包中拿出目的IP地址、查詢一個相對簡單的路由表，然后將數(shù)據(jù)包正向運行到適當轉(zhuǎn)發(fā)接口。如果可執(zhí)行過濾，路由器還得對每個包執(zhí)行一遍所有的過濾規(guī)那么【9】。這有可能造成CPU的資源的大量占用，而且可能會影響一個完全飽和的系統(tǒng)性能。2.1.2Proxy這種防火墻通過代理〔Proxy〕技術(shù)參加到一個有著TCP連接的全過程當中。數(shù)據(jù)包經(jīng)由處理后從內(nèi)部發(fā)出，就好比是給防火墻設(shè)置了一個外部網(wǎng)卡一般，從而可以到達將內(nèi)部。這一種類型的防火墻被公認為網(wǎng)絡(luò)平安性最可靠的防火墻。代理防火墻為它們所支持的協(xié)議提供全面的協(xié)議意識平安分析。相比于那些只考慮數(shù)據(jù)包頭信息的產(chǎn)品，這使得它們能做出更平安的判定。例如，特定的支持FTP的代理防火墻，它能夠監(jiān)視實際流出命令通道的FTP命令，并能夠停止任何禁止的活動。由于效勞器被代理防火墻所保護，而且代理防火墻允許協(xié)議意識記錄，這使得識別攻擊方法以及備份現(xiàn)有記錄更容易。代理防火墻增加平安性也是要付出代價的。額外的代價是為每個會話建立兩個連接所需的花費，加上應(yīng)用層驗證請求所需的時間，以及性能的降低。你可以將錢花費在代理效勞器上，但在真正的高帶寬網(wǎng)絡(luò)上仍有可能到達瓶頸?？赡苣鷷l(fā)現(xiàn)為您的網(wǎng)絡(luò)正確安裝以及配置所需的代理是困難的，還可能很難使VPN〔虛擬專用網(wǎng)〕通過代理防火墻工作。優(yōu)勢：代理的根底是將兩個端口的直接通訊隔斷并在中間建立起轉(zhuǎn)發(fā)系統(tǒng)，任何的通信都要經(jīng)由代理的轉(zhuǎn)發(fā)，用戶任何情況下都不可以建立直接的TCP連接，應(yīng)用層經(jīng)由協(xié)議的會話過程筆記滿足代理的平安規(guī)那么要求，對于不同的應(yīng)用協(xié)議，代理防火墻提供了不同的對應(yīng)用層控制的能力供用戶選擇?？梢赃@樣說，狀態(tài)監(jiān)測包過濾技術(shù)標準了網(wǎng)絡(luò)層和傳輸層的平安行為，而應(yīng)用代理那么是標準了特殊的應(yīng)用協(xié)議上的平安行為[10]。劣勢：代理防火墻的技術(shù)開展遠沒有包過濾技術(shù)活潑，靈魂與精華上根本什么都沒有變，僅僅是增添了不同種類的協(xié)議，為了克服代理技術(shù)種類相當有限的缺乏，多數(shù)代理防火墻也提供了狀態(tài)檢測包過濾的能力在同一時間，每當用戶遇到的防火墻陌生的應(yīng)用協(xié)議時，就通過使用包過濾的方式對其檢查。但是目前很難將這兩者的平安策略完全全結(jié)合在一起，所以復(fù)合型的產(chǎn)品一般情況下更難以配置和調(diào)試[10]。2.2防火墻的開展趨勢和現(xiàn)狀狀態(tài)檢測包過濾技術(shù)和代理這兩種技術(shù)現(xiàn)在仍舊是防火墻市場中通常采用的主流技術(shù)，但這兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會導致一種新的結(jié)構(gòu)名稱的出現(xiàn)。在NetEye防火墻中以狀態(tài)監(jiān)測包過濾為根本創(chuàng)立了一種暫時稱之為“流過濾”的結(jié)構(gòu)，它根本的原理是防火墻處于外部包過濾的情況，運行在鏈路層或者IP層，在不違反規(guī)那么的情況下，兩個端口可以直接的房分，不過對于隨意一個不違反規(guī)那么的訪問在防火墻內(nèi)部都有兩個層的會話且是完全獨立的會話，數(shù)據(jù)是按照“流”的形態(tài)從一個會話去向另一個會話，因為防火墻對于應(yīng)用層的策略部署在“流”的中間，因此可以在任何時候在應(yīng)用層替代效勞器或者是客戶端的會話通信，從而起到了和代理型防火墻類似的控制性功能，比方說網(wǎng)眼防火墻系統(tǒng)對于SMTP的處理，防火墻系統(tǒng)完成完全的對郵件的存儲并且轉(zhuǎn)發(fā)，并實現(xiàn)的各種攻擊的防范功能[11]?！傲鬟^濾”的另一個優(yōu)越的性能在于，占用資源更少且運行效率更加高效，假設(shè)是你需求一個能夠支持數(shù)量相當之大的并發(fā)性訪問，同時又需要有相當于代理技術(shù)的作用在應(yīng)用層的防護能力的系統(tǒng)，“流過濾”結(jié)構(gòu)是最好的選擇。隨著技術(shù)開展了這么多年，已經(jīng)成為了網(wǎng)絡(luò)信息平安中最為成熟的技術(shù)支持，是信息平安管理員手中最有效的盾牌。而且防火墻本身的核心思想與技術(shù)仍然在隨著時代的開展而進步著，事實上，沒有哪一個平安手段或是技術(shù)能夠停工永久的保障，因為網(wǎng)絡(luò)在進步，應(yīng)用在進步，攻擊的手段在變化。對于防火墻來說，技術(shù)的不斷進步才是真實的保障。3防火墻技術(shù)的設(shè)計和實現(xiàn)要開發(fā)防火墻工具，需要現(xiàn)建立驅(qū)動程序。通過使用IP過濾驅(qū)動，可以開發(fā)出應(yīng)用廣泛的網(wǎng)絡(luò)平安產(chǎn)品。在進行驅(qū)動開發(fā)時，大多數(shù)都是選擇Filter-HookDriver。3.1防火墻的設(shè)計程序主要大致分為如下幾個局部：載入IP協(xié)議過濾驅(qū)動程序Filter-HookDriver;在CAddRuleDlg類的函數(shù)OnAddsave()中添加過濾規(guī)那么，并用AddFilter()函數(shù)將此過濾規(guī)那么添加到Filter-HookDrvier中去；啟動防火墻，進行數(shù)據(jù)包過濾；創(chuàng)立程序主窗體結(jié)構(gòu)，在這之前與已經(jīng)導入過濾規(guī)那么的Filter-HookDriver用PreCreateWindow()建立關(guān)系，提供可視化操作。3.1.1回調(diào)函數(shù)Filter-HookDriver是Windows2000、WindowsXP等系統(tǒng)自帶的內(nèi)核模式驅(qū)動，它的結(jié)構(gòu)是一個典型的內(nèi)核模式驅(qū)動結(jié)構(gòu)。在Windows2000heWindowsXP中，在“System32\drivers”目錄下的IPfiltdrv.sys是Microsoft提供的IP協(xié)議過濾驅(qū)動程序。它允許用戶注冊自己的IP數(shù)據(jù)報處理函數(shù)。在MSDN中有關(guān)于這方面內(nèi)容的簡短說明，位于Filter-HookDriverReference章節(jié)中。這一局部說明文檔論述了Filter-Hook驅(qū)動程序?qū)崿F(xiàn)的回調(diào)函數(shù)和該驅(qū)動程序用以注冊回調(diào)函數(shù)的I/O控制碼?；卣{(diào)函數(shù)是是這類驅(qū)動程序的主體局部。操作系統(tǒng)提供的IP過濾驅(qū)動程序使用這個過濾鉤子來判斷IP數(shù)據(jù)包的處理方式[12]。typedefPF_FOWORD_ACTION(*PacketFileterExtensionPtr)(unsignedchar*PacketHeader,unsignedchar*Packet,unsignedintPacketLength,unsignedintRecvInterfaceIndex,unsignedintSendInterfaceIndex,IPAddrRecvLinkNextHop,IPAddrSendLinkNextHop);該類型就是過濾鉤子的回調(diào)函數(shù)，它決定所有傳過來的IP數(shù)據(jù)包的命運——是繼續(xù)傳遞，還是丟掉，或者允許IP過濾驅(qū)動程序繼續(xù)處理。3.1.2程序的結(jié)構(gòu)與類IPFilter是定義過濾規(guī)那么的結(jié)構(gòu)體，此結(jié)構(gòu)體將通常過濾數(shù)據(jù)包要考慮的包頭信息都包括進去了。filterList規(guī)那么列表的建立。程序主要包括的類：CFireView、CAddRuleDlg、CAboutDlg、TDriver。在程序中，IP過濾協(xié)議驅(qū)動程序由TDriver類的LoadDriver()函數(shù)載入，同時完成對驅(qū)動程序的初始化，嵌入到Window中作為系統(tǒng)的效勞，而IP包處理函數(shù)通過啟動IP過濾協(xié)議驅(qū)動程序函數(shù)StartDriver()和對IP過濾協(xié)議驅(qū)動程序進行I/P操作放入本類中[13]。完成核心的驅(qū)動載入，過濾規(guī)那么類后，顯示程序界面用到的類是CFireView。3.2程序流程圖查看過濾結(jié)果判斷APP是否載入啟動驅(qū)動效勞啟動防火墻添加過濾規(guī)那么載入？載入Filter-HookDriver查看過濾結(jié)果判斷APP是否載入啟動驅(qū)動效勞啟動防火墻添加過濾規(guī)那么載入？載入Filter-HookDriverNY防火墻開始過濾防火墻開始過濾NY圖3.1防火墻運行流程圖3.3設(shè)計的實現(xiàn)要實現(xiàn)防火墻的真正運行，驅(qū)動的注冊是核心中的核心。3.3.1Filter-HookDriver的注冊因為包過濾必須在驅(qū)動實現(xiàn)相應(yīng)的過濾操作，所以首先需要在Microsoft提供的IP協(xié)議過濾驅(qū)動程序匯總注冊自己的IP數(shù)據(jù)包函數(shù)，注冊IP數(shù)據(jù)包處理函數(shù)后，一旦收到或者發(fā)送數(shù)據(jù)包時，IP協(xié)議驅(qū)動程序會自動調(diào)用注冊的IP數(shù)據(jù)包處理函數(shù)，到達過濾目的。注冊需經(jīng)過這幾個步驟：載入IP協(xié)議過濾驅(qū)動程序；創(chuàng)立效勞并用StartDriver啟動效勞；跟防火墻程序交互，判斷是否要執(zhí)行過濾；完成操作后，防火墻的StopDriver函數(shù)停止效勞。過濾規(guī)那么的建立與過濾規(guī)那么導入進Filter-HookDriver。對過濾規(guī)那么的不同修改可以使導入進Filter-HookDriver的規(guī)那么實現(xiàn)不同功能。數(shù)據(jù)包過濾的根本步驟可以通過CAddRuleDlg類中的OnAddsave()說明：首先展開收到的數(shù)據(jù)包包頭〔PacketHeader〕；檢查數(shù)據(jù)包中的相關(guān)協(xié)議〔protocol〕，并于設(shè)定的過濾規(guī)那么進行比擬；如果協(xié)議一致，那么檢查源和目的地址；如果協(xié)議是TCP，那么檢查端口；最終決定該數(shù)據(jù)包是通過還是丟棄[14]。3.3.2主程序框架的設(shè)計根本程序的功能需要，設(shè)計如下幾個框體：圖3.2端口掃描器圖3.3功能界面圖3.4界面按鈕執(zhí)行后的應(yīng)用程序界面為。圖3.5主界面他們的控件及驅(qū)動程序代碼在類CFirewall中，具體代碼見附錄:A。該APP和驅(qū)動之間的互通圖關(guān)系圖如下應(yīng)用程序FireView.cppAddRuleDlg.cpp驅(qū)動程序Filter-Hook應(yīng)用程序FireView.cppAddRuleDlg.cpp驅(qū)動程序Filter-HookDriverPreCreateWindowAddFilterDeviceIOControl圖3.6驅(qū)動與應(yīng)用交互原理其中，PreCreateWindow說明FireView.cpp首先載入驅(qū)動；AddFilter說明導入過濾規(guī)那么；3.4設(shè)計細節(jié)在IP協(xié)議過濾驅(qū)動程序與應(yīng)用程序交互的過程中，有兩個設(shè)計是務(wù)必要考慮的。緩存：在驅(qū)動程序接收到過濾規(guī)那么或APP回應(yīng)后，起碼有一個緩沖以便臨時存儲信息，再等待處理。緩存不需要很大，只要能在得到時間片之前緩沖區(qū)不溢出就可以了，實踐中大約能存儲幾十個報文就行了[15]。緩沖的方式是一個先進先出的隊列，考慮方便實現(xiàn)靜態(tài)存儲的環(huán)形隊列，也就是說不必每次分配內(nèi)存，而是一次性分配好一大塊內(nèi)存，做環(huán)形使用。上述方式是采用數(shù)組的方式組織緩沖，為每一個報文供給一個最大報文長度的空間。因為緩沖區(qū)數(shù)目有限，因此這種方式可以滿足需要，如果要考慮到減少空間的浪費，那么可以按每個報文的實際長度存儲，上面的算法便不能滿足這種方式。在網(wǎng)卡接收IP報文發(fā)送過程中，驅(qū)動程序緩存報文，用時間通知應(yīng)用層有報文需要處理，那么應(yīng)用層可以通過IO方式或者共享內(nèi)存方式取得此報文。事實證明，在100Mbps速率下，以上兩種方式都可以滿足需要，最為漸變的方式就是使用有緩沖的IO方式，不過IO方式因為一次只能發(fā)送一個報文，100Mbps網(wǎng)絡(luò)速度下降為70%~80%，10Mbps不會有影響。也就是說，主機發(fā)出的最大速度只有70%的網(wǎng)絡(luò)速度，這和應(yīng)用程序發(fā)送不超過MTU的UDP數(shù)據(jù)報的速度是一樣的，對TCP來說，由于是雙向通信，損失更大，大約為40%~60%的速度。多數(shù)時候，我們考慮共享內(nèi)存方式，因為減少了系統(tǒng)調(diào)用的開銷可以防止速度下降，在進行通信時還必須注意數(shù)據(jù)包發(fā)送的速度控制。發(fā)送數(shù)據(jù)時對發(fā)送速度的控制：當向IP協(xié)議過濾驅(qū)動程序發(fā)送報文時。一般來說，驅(qū)動程序緩存這些報文，并且通知IP應(yīng)用發(fā)送成功的狀態(tài)，處理完畢后再進行抉擇。如此，報文的存儲速度要比網(wǎng)卡發(fā)送的速度快很多，可是IP應(yīng)用將以存儲的速度進行報文的發(fā)送。這樣就會導致緩存的極具消耗，之后的數(shù)據(jù)報只好丟棄，這樣一來，UDP不能正常的發(fā)送工作。TCP由于可以進行適應(yīng)網(wǎng)絡(luò)狀況，仍舊可以在這種情況下工作，速度在70%左右[16]。因此，必須有一個方法防止這種狀況。驅(qū)動將這些報文進行緩存，通知IP應(yīng)用發(fā)送狀態(tài)未決定。直到最后處理完畢再告訴IP應(yīng)用完成了發(fā)送，這樣協(xié)調(diào)了發(fā)送的速度。這樣的方法也伴隨一個問題就是驅(qū)動程序必須在發(fā)送超時的情況下放棄對這些緩沖報文的所有權(quán)。4軟件測試軟件測試結(jié)果如下列圖，圖4.1軟件運行結(jié)果該軟件與XP與2000系統(tǒng)下正常工作，可以進行IP識別并控制ping的通斷。5結(jié)束語本設(shè)計基于Filter-HookDriver設(shè)計的數(shù)據(jù)包過濾防火墻，結(jié)合它的工作原理和特點，在WindowsXP/2000環(huán)境下使用Filter-HookDriver創(chuàng)立過濾函數(shù)，并利用設(shè)定好過濾規(guī)那么對訪問的數(shù)據(jù)包進行過濾，實現(xiàn)防火墻的功能。優(yōu)點是可以自選設(shè)定過濾規(guī)那么，阻止特定的IP地址和端，并且可以選擇需要阻止的協(xié)議而到達保護系統(tǒng)平安的功能。本軟件中的過濾規(guī)那么需要用戶自己手動添加與注冊，無法自動識別是缺乏之處，但IP的識別與ping隔斷能力還是可以正常運行的。致謝畢業(yè)設(shè)計已經(jīng)接近了尾聲，這也意味著我的大學生活就要結(jié)束了，學生活一晃而過，回首走過的歲月，心中倍感充實，當我寫完這篇畢業(yè)論文的時候，有一種如釋重負的感覺，感慨良多。這次的畢業(yè)設(shè)計,對于培養(yǎng)我們理論聯(lián)系實際的設(shè)計思想;訓練綜合運用機械設(shè)計和有關(guān)先修課程的理論,結(jié)合生產(chǎn)實際反系和解決工程實際問題的能力;穩(wěn)固、加深和擴展有關(guān)機械設(shè)計方面的知識等方面有重要的作用。寫作畢業(yè)論文是一次再系統(tǒng)學習的過程，畢業(yè)論文的完成，同樣也意味著新、生活的開始。希望大家在將來的生活中繼續(xù)追逐最初的夢想，永不放棄。參考文獻[1]廖春盛.校園網(wǎng)絡(luò)防火墻系統(tǒng)的設(shè)計與實現(xiàn)[J].華南師范大學學報,2000.[2]徐孝凱，張紀勇.C++面向?qū)ο蟪绦蛟O(shè)計：VC++6.0運行環(huán)境[M].天津大學出版社2009.[3]郎銳，羅發(fā)根.VisualC++網(wǎng)絡(luò)通信程序開發(fā)指南[M].北京:機械工業(yè)出版社,2004[4]朱桂英，張元亮.VisualC++網(wǎng)絡(luò)編程開發(fā)與實踐[M].清華大學出版社,2013.[5]吳桂華.目前防火墻中的最新技術(shù)及開展[J].消費電子,2014.[6]MFry,AGhosh.ApplicationLayerNetworking[J]ComputerNetworks,1999.[7]裴衣非.計算機網(wǎng)絡(luò)的平安屏障——防火墻技術(shù)的研究[J].科技信息,2009.[8]徐兵.網(wǎng)絡(luò)防火墻結(jié)構(gòu)[J].中國有線電視,2004[9]AndrewS.Tanenbau.計算機網(wǎng)絡(luò)(第四版)[M].北京:清華大學出版社,2004.[10]曹斌，網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)[J].網(wǎng)絡(luò)平安技術(shù)與應(yīng)用,2001[11]王艷平，張越.Windows網(wǎng)絡(luò)與通信程序設(shè)計[M].北京:人民郵電出版社,2006.[12]IETFRFC.networkAddresstranslate—FriendlyApplicationDesignGuidelines[S],1918.[13]胡曉軍，高宏偉.編著VisualC++高級開發(fā)范例解析[M].電子工業(yè)出版社,2002.[14]IETFRFC2663.IPNetworkAddressTraslator(NAT)Terminologyandconsideration[S].[15]周明天，汪文勇.編著TCP/IP網(wǎng)絡(luò)原理與技術(shù)[M]北京:清華大學出版社,1993.[16]D.D.Clark,D.L.ArchitecturalConsiderationforaNewGenerationofProtocol[S]Proc.ACMStgcomm,1990.附錄A：ResearchofNetworkSecurityandFirewallsTechniquesNowwiththecomputernetworkande-commerceusedwidely,networksecurityhasbecomeanimportantproblemthatwemustconsiderandresolve.Moreandmoreprofessions.enterprisesandindividualssurferfromthesecurityproblemindifferentdegree.theyarelookingforthemorereliablesafetysolution.Inthedefensesystemadoptedbynetworksecurityatpresent,thefirewallsstandtheveryimportantposition.AllthefirewallshavethefunctiontofiltertheIPaddress.ThistaskcheckstheIPpacket,makesthedecisionwhethertoreleaseortoabandonitaccordingtothesourceaddressanddestinationaddressoftheIP.thereisafirewallbetweentwonetworksections,anUNIXcomputerisononesideofthefirewall,andtheothersideisaPCclient.WhilethePCclientasksatelnetrequestfortheUNIXcomputer,theclientprocedureoftelnetinthePCproducesaTCPpacketandpassesthepackettothelocalprotocolstacktopreparetosend.TheprotocolstackfillsitinoneIPpacket.then,sendsittoUNIXcomputerthroughthepathdefinedbytheTCP/IPstackofPC.TheIPpacketcan'treachtheUNIXcomputeruntilitpassesthefirewallbetweenthePCandtheUNIXcomputer.Asthekeyfacilitythatmaintainsthenetworksecurity.firewallstakethepurposeofestablishinganobstaclebetweentrustandtrustlessnetwork,andputcorrespondingsafetystrategyintopractice.TheapplicationfirewallisaveryefficientmeansofnetworksecurityonInternet,itisinstalledbetweenthetrustandtrustlessnetwork,canisolatetheconnectionbetweenthetrustandtruslessnetwork,anddoesn’thamperpeople’saccesstotheriskareaatthesametime.Firewallcanmonitorthetrafficflowinginandoutfromthenetworktofinishthetaskseeminglyimpossible;itonlyallowsthesafeandcheckedinformationtoenterinto,andmeanwhileresistsonthedatathatmaybringaboutthethreattoenterprise.Asthefaultanddefectofthesecurityproblembecomemoreandmoregeneral,theinvasiontothenetworknotonlycomesfromthesuperattackmeans,butalsomaybefromthelower-levelmistakesorimproperpasswordselectionsontheconfiguration.So,thefunctionofthefirewallsispreventingthecommunicationthatnothopedandauthorizedpassesinandoutofthenetworkprotected.forcingthecompaniestostrengthentheirownnetworksecuritypolicy.Thegeneralfirewallscanachievethefollowingpuroposes:First,restrainingothersfromenteringtheinsidenetwork,filteringtheunsafeserviceandillegaluser;Second,preventingtheinvadersfromclosingtoyourdefenseinstallation;Third,limtingtheusertoaccessthespecialsite;Fourth,providingconvenienceformonitoringtheInternetsecurity.Anintegratedfirewallssystemusuallyconsistsofscreeningrouterandproxyserver.Thescreeingrouterisamulty-portIProuter.itchecktheeachcomingIPpacketaccordingtothegroupregulartojudgewhethertotransmitit.Thescreeningroutergetsinformationfromthepacket.fotexampletheprotocolnumber.theIPaddressandportnumberthatreceivingandsendingmassages.theflagoflinkevensomeotherIPselections.filteringIPpacket.Theproxyserverareserverprocessinthefirewall.itcanreplacethenetworkusertofinishthespecificTCP/IPfunction.Aproxyserverisnaturallyagatewayofapplicationlayer.agatewayoftwonetworksjoinedspecificnetworkapplication.UserscontactwithproxyserverbyoneoftheTCP/IPapplicationsuchasTelnetorFTP.theproxyserverasktheusersforthenameoftheremotehost.whichuserswanttoaccess.Aftertheusershaveansweredandofferedthecorrectusers'identitiesandauthenticationinformation,theproxyservercommunicatestheremotehost,actastherelaybetweentwocommunicationsites.Thewholecoursecanbetotallytransparenttousers.Therearemainlythreetypesinthefirewalls:packetfiltering.applicationgatewaysandstatedetection.Packetfilteringfirewallworksonthenetworklayer.itcanfilterthesourceaddress.destinationaddress.sourceportanddestinationportofTCP/IPdatapacket.Ithasadvantagessuchasthehigherefficiency.transparenttouser.andusersmightnotfeeltheexistenceofthepackerfilteringfirewall,unlessheistheillegaluserandhasbeenrefused.Theshortcomingsarethatitcan'tensurethesecuritytomostservicesandprotocols,unabletodistinguishthedifferentusersofthesameIPaddresseffectively,anditisdifficulttobeconfigured,monitoredandmanaged.can'tofferenoughdailyrecordsandwarning.Theapplicationgatewaysfirewallperformsitsfunctionontheapplicationlayer,itconnectswithspecificmiddle-joint(firewall)byaclientprocedure,andthenthemiddle-jointconnectswiththeserveractually.Unlikethepacketfilteringfirewall.whenusingthefirewallofthiskind.thereisnodirectconnectionbetweentheoutsidenetworks.soevenifthematterhashappenedinthefirewall.theoutsidenetworkscan'tconnectwithnetworksprotected.Theapplicationgatewayfirewalloffersthedetaileddailyrecordsandauditingfunction,itimprovedthesecurityofthenetworkgreatly.andprovidesthepossibilitytoimprovethesecurityperformanceoftheexistingsoftwaretoo.Theapplicationgatewaysfirewallsolvesthesafetyproblembasedonthespecificapplicationprogram.theproductsbasedonProxywillbeimprovedtoconfiguretheserviceincommonuseandnon-standardport.However.solongastheapplicationprogramneedsupgrading.theusersbasedonProxywillfindthattheymustbuynewProxyserver.Asatechniqueofnetworksafety.Firewallcombinedwithproxyserverhassimpleandpracticalcharacteristics,canreachacertainsecurityrequestincaseofnotrevisingtheoriginalnetworkapplicationsystem.However.ifthefirewallsystemisbrokenthrough.thenetworkprotectedisinhavingnostateofprotecting.AndifanenterprisehopestolaunchthebusinessactivityonInternetandcarryoncommunicationwithnumerouscustomers.itcan'tmeetthedemands.Inaddition,thefirewallbasedonProxyServicewilloftenmakestheperformanceofthenetworkobviouslydrop.Thethirdgenerationoffirewalltakesthedetectiontechniqueofstateasthecore,combinesthepacketfilteringfirewallandapplicationgatewaysfirewall.Thestatedetectionfirewallaccessesandanalyzesthedataachievedfromthecommunicationlayerthroughthemoduleofstatedetectiontoperformitsfunction.Thestatemonitoractasfirewalltechnique.itisbestinsecurityperfonnance,itadoptsasoftwareengine.whichexecutesthetacticsofnetworksecurityonthegateways,calledthedetectionmodule.Onthepremiseofnotinfluencingthenetworktoworknormally,detectionmodulecollectstherelevantdatatomonitoreachofthenetworkcommunicationlayers,collectsapartofdata,namelystatusinformation,andstoresthedataupdynamicallyforthereferenceinmakingsecuritydecisionafterward.Detectionmodulesupportsmanykindsofprotocolsandapplicationprogram,andcanimplementtheexpansionofapplicationandserviceveryeasily.Differentfromothersafetyschemes,beforetheuser'saccessreachestheoperatingsystemofnetworkgateways,thestatemonitorshouldcollecttherelevantdatatoanalyze,combinenetworkconfigurationandsafetyregulationtomakethedecisionsofacceptance,refutation,appraisalorencryptingtothecommunicationetcOnceacertainaccessviolatesthesecurityregulation,thesafetyalarmwillrefuseitandwritedowntoreportthestateofthenetworktothesystemmanagementdevice.Thistechnologyhasdefectstoo,namelytheconfigurationofthestatemonitorisverycomplicated,andwilldeceleratethenetwork.Accordingtothepresentfirewallsmarket,thedomesticandinternationalmanufacturersoffirewallcanallsupportthebasicfunctionofthefirewallwell,includingaccesscontrol,thenetworkaddresstransform,proxy,authentication,dailyrecordsauditetc.However,asstatedbefore,withtheattacktothenetworkincreasing,anduser'srequisitionfornetworksecurityimprovingdaybyday,thefirewallmustgetfurtherdevelopment.Combinethepresentexperienceofresearchanddevelopmentandtheachievement,somerelevantstudiespointout,accordingtothedevelopmenttrendofapplicationandtechnology,howtostrengthenthesecurityoffirewall,improvetheperformanceoffirewall,enrichthefunctionoffirewall,willbecometheproblemthatthemanufactureroffirewallsmustfaceandsolvenext.Thepurposeofthenewgenerationfirewallismainlycombiningthepacketfilteringandproxytechnology,overcomingthedefectsinthesafetyrespectoftwo;beingabletoexerttheomnidirectionalcontrolfromthelayerofdatachaintotheapplicationlayer;implementingthemicro-kernelofTCP/IPprotocoltoperformallthesecuritycontrolonthelayerofTCP/IPprotocol;basedonthemicro-kernelabove,makingthespeedtoexceedthetraditionalpacketfilteringfirewall;Offeringthetransparentmodeofp