实例介绍
【实例简介】
本文在对主机防火墙 的各种技术对比的基础之上,结合计算机网络安全的本质与要 求,对包过滤防火墙这一传统的防火墙体系结构进行了分析与改 进,提出一种充分利用现有技术与实验条件的包过滤防火墙系统 的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻 留在内部网络终端的主机防火墙,将防火墙延伸到内部网络的终 端,从而有效防范来自网络内部的非法访问与恶意破坏。
太原理工大学硕士研究生学位论文 本系统在吞吐量和网络延迟两个技术指标上与天网防火墙和 瑞星防火墙进行了测试比较,结果表明,系统的吞吐量比天网防 火墙和瑞星防火墙高而网络延迟却相对短一些。 总的来说,本文在对当今包过滤技术与数据包拦截技术研究 的基础上,分析比较了各种方法和技术的优缺点,针对无状态包 过滤的不足进行了改进,采用了内核态包拦截与有状态包过滤结 合的设计思想,用BNF范式对规则集进行了定义。测试证明, 本软件在采用了新技术后体现出了吞吐量高和网络延迟短的优越 性。 关键词:网络安全,防火墙,有状态包过滤 TDI, NDIS, BNF 太原理工大学硕士研究生学位论文 RESEARCH ON PACKETS FILTERING HOST FIREWALL ABSTRACT Because the traditional firewall believes that the exterior network could protect the inner network, so when people set down the securit strategies, they always make different filtering rules to exterior network and inner network. But in the recent several years the network attack from inner network increased a lot. the traditional border firewall couldnt resist this kind of attack, so the host firewall seems to be very important. In my thesis I analyze all sorts of technology of host firewall, after compare them to each other, I make some Improvement on the traditional packets filtering firewall, combined with the essence and need of network security, finally i propose one packets filtering firewall system design plan based on the technology and experiment we could use. That is to design a host firewall staying in the inner network terminal. It spreads the firewall to the terminal of twork so as to protect inner network from invalid visiting and malice damage The firewall that designed in the thesis is based on stateful packets filtering, that is to filter the data packets which come from inner network terminal according to the protocol types source and destination IP address, TCP and udp port numbers, then get balance between resource saving and network security. The filtering rules of firewall could add and delete by administrator according to needs ackets filtering work was controlled by control platform which is 太原理工大学硕士研究生学位论文 transparent to users. In firewall rules gathering I detined the depiction of packets filt ering rules with Backus-Naur Form. Because BNF is pretty accurate and working not associated to platform, so as long as the rules are obedient to BNF criterion, it could be executed strictly In the packets interception part, first we discuss about some realizing technologies of intercepting bottom layer packets in Windows, after compare the advantages and shortcomings, choose TDI filtering driver and NDIS middle layer driver under kernel mode to work. TDi filtering driver could get the particular information of visiting network processes, and intercept the packets of bottom layer protocols. NDIS middle laver driver could intercept not only IP packets, but also the non IP packets, it extends the packets filtering Just because of these advantages, the host firewall which developed by these technologies could be safer. All the software code was made in Visual C++6.0 In the tests part i compare the host firewall to Skynet firewall and Rising firewall on throughout and network delay time. The result shows that the throughout of the host firewall is higher than Skynet and rising firewall, at the same time the network delay time is shorter. In a nutshell, based on research of packets filtering and packets interception, I analyze and compare the advantages and shortcomings of all sorts of methods and technologies, make some improvement aimed at the weakness of stateless packets filtering, I take the packets interception under kernel mode with stateful packets filtering as the design, theory, then define rules gathering with BNE. The tests show the advantages of the host firewall with high throughout and short delay time. KEY WORDS: network security, firewall, stateful packets filtering TDI, NDIS, BNF IV 声明 本人郑重声明:所呈交的学位论文,是本人在指导教师的指导下, 独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名:祭忍b 日期:70627 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定,其 中包括:①学校有权保管、并向有关部门送交学位论文的原件与复印 件;②学校可以采用影印、缩印或其它复制手段复制并保存学位论文; ③学校可允许学位论文被查阅或借阅;④学校可以学术交流为目的, 复制赠送和交换学位论文;⑤学校可以公布学位论文的全部或部分内 容(保密学位论文在解密后遵守此规定 签名: 采哭1日期:24 导师签:久日期:2mb42 太原理工大学硕士研究生学位论文 第一章绪论 1.1研究背景 九十年代后期以来,计算机网络技术得到飞速发展,信息的处理和传 递突破了时间和地域的限制,网络化与全球化成为不可抗拒的世界潮流, Internet已进入社会生活的各个领域和环节,并愈来愈成为人们关注的焦 点。随着计算机的网终化和全球化,人们在日常生活中的很多活动将逐步 转移到网络上来。网络技术已经渗透到人类社会生活的方方面面,对人类 生产生活产生了巨大的影响。随着网终信息技术在各个领域中愈加应用广 泛与计算机技术和通信技术的不断发展,网络安全问题亦日渐呈现出来, 吸引着越来越多人的关注。据调査显示,每年全球因计算机网络的安全系 统被破坏而造成的经济损失达数百亿美元,因而各项关于网络及信息安全 方面的研究课题也应运而生,研究范围越来越广。新型产业、合作方式和 商业模式不断出现,世界迅速进入网络时代,现存的企业网络包括各种各 样的系统和平台,也都同样面临着网络安全的挑战。数字化时代的到来, 使得网络应用渗透到社会的各个领域,给人们提供了极大的便利, Internet 技术及其应用的不断发展,使计算机、通信和信息处理形成了网络时代巨 大而复杂的网络信息系统,此时,在 Intemet网络系统中,通信安全、计 算机安全、操作安金、信息安全等便成为人们最关心的问题 网络安全是网络安全应用中一个综合性课题,同时也是一个全局性的 问题,它包括如网络设备、网络操作系统、应用程序和数据安全等许多方 面的问题,涉及到技术、管理、操作等方方面面的因素。如果不注意网络 安全问题,没有采取安全措施,那么系统就有可能受到攻击。 Internet为人 们提供了发布和检索信息的场所,但也带来了信息被污染和破坏的危险 人们为了保护信息和数据的安全,创建了防火墙安全系统。 防火墙系统不是简单的能提供网络安全功能的路由器、主机系统或系 统的集合,而是一个安全的系统的方法,它能够对网络提供的服务和访问 进行定义并实现更高层次的安全策略。防火墙的主要目的是对受保护的网 络实现安全访问控制,其基本工作是隔离网络,采用规则集实施安全策 略。作为一种必不可少的安全实施机制,它可以将不可信网络同可信网络 隔离开。 太原理工大学硕士研究生学位论文 防火墙需筛选两个网络间所有的连接,决定哪些传输应该被允许,哪 些应该被禁止。最普通的防火墙特性包括:用边缘防御使网络访问安全 控制所有的网络输入、输出连接;通过预先定义的规则过滤数据,“认 证”用户和应用程序以确保允许它们访问内部网;为安全审计的目的而记 录行为;在可疑事件发生时通知可信任的人 传统的边缘防火墙只能对局域网的周边提供保护,这些防火墙会在流 量从外部的互联网进入内部局域网时进行过滤和审查。但是,它们并不能 确保局域网内部的安全访问。例如:黑客入侵一台已经接入了内部局域网 的计算机,一旦获得这台计算机的控制权,便可以利用这台机器作为入侵 其它系统的跳板。最新一代的安全性解决方案将防火墙功能分布到网络的 桌面系统、笔记本计算机以及服务器上。分布于整个公司内的防火墙使用 户可以方便地访问信息,而不会将内部网络的其他部分暴露在潜在的非法 入侵者面前。凭借这种端到端的安全性能,用户不论通过内部网、外联 网、虚拟专用网还是远程访问来实现与内部的互联都不再有任何区别。 1.2课题的研究现状 对于安全问题的研究,在网络出现以前,信息安全问题主要还只是指 对信息的机密性、完整性和可获性的保护,即面向数据的安全。而当互联 网出现以后,对于信息安全问题的研究和分析除了上述概念以外,其内涵 又扩展到面向网络使用者以及网络应用与服务的安全,即鉴别、授权、访 问控制、抗否认性和可服务性以及对于内容的个人隐私、知识产权等等的 保护。 目前信息安全方面的问题主要依靠密码、身份验证技术、数字签名 防火墙、安全审计、防病毒、防黑客入侵、灾难恢复等安全机制加以解 决,其中密码技术和网络信息安全管理是信息安全的核心,而安全标准和 系统评估是信息安全的基石。在研究网络安全问题时,为建立一个高效安 全的网络信息系统和网络运行坏境,人们的研究范围既包括各类具体的安 全产品,如防火墙、路由器、安全网关、虚拟专用网、入侵检测系统、漏 洞扫描、安全测试和监控产品等,同时也包括操作系统平台的安全性,从 操作系统本身的层次上考虑网络安全性,尝试把系统中可能引起安全问题 的部分从内核中剔除出去,使得网络和系统具有更高的安全性。 太原理工大学硕士研究生学位论文 作为网络安全技术之一的防火墙技术发展也经历了几个历程,最早防 火墙系统只是实现简单包过滤,那个时期的防火墙关注的是网络层和传输 层的保护,它只简单匹配单个包的包头信息,却忽略了数据包之间的联 系。为了不影响正常的通信,必须为防火墙开一些后门,而这降低了内部 网终的安全性。后来出现的状态检测包过滤解决了这个安全问题,它维护 了包与包之间的状态信息,从而使有方向的数据包可以通过防火墙而不存 在安全漏洞,但是状态检测只是记录数据包之间的关联性,然后根据它们 之间的关联性来决定此方向数据包是否能够通过,这种技术的出现主要是 为了解决在简单包过滤中存在的安全漏洞,并未对TCPP协议中的会话 连接实现跟踪。 基于应用代理技术的防火墙系统则更关心应用层的保护,通过一个透 明代理完成对于应用层的保护,它针对一些常见的应用协议比如SMTP (siMpleMailTransferProtocol),Pop3(posTOfficeProtocol3),http ( Hypertext Transfer Protocol), TELNET(TCPP用于远程终端服务的标 准协议),FTP( File Transfer protocol)等来做一些限制,由于代理技术上 的限制,目前采用这种架构的防火墙系统无法做到对应用协议的完全控 制。如果说,状态检测包过滤规范了网络层和传输层行为,则应用代理规 范的是特定的应用层协议上的行为。而基于这两种技术的传统型防火墙很 难实现基于状态检测和应用代理两种安全技术同时高效并行地工作,通常 在采用透明应用代理的时候防火墙只是简单工作在包过滤状态,令工作效 率大打折扣 针对上述问题提供解决方案的新一代混合型网络安全类保护产品正成 为主流趋势,其基本原理是既以状态包过滤的形态实现了对网络层的保 护,同时又根据TCPP协议栈的工作模式和特点,在状态检测包过滤的 基础上又实现透明的应用层信息过滤机制,从而使应用层安全策略与网络 层安全策略紧密结合;这种类型的安全产品能够实现对应用层的控制,并 针对不同的应用层协议,进行连接跟踪和服务分析,然后根据权限列表对 当前访问进行控制。它能通过基于网络服务的应用层监控和行为过滤机 制,分析应用层协议,过滤制定内容并记录相应的访问内容等相关信息。 太原理工大学硕士研究生学位论文 13本文的工作 本文首先讨论了计算机网络安全的本质和要求,然后对传统的网络防 火墙、主机防火墙及其所采用的技术进行了较为深入的技术分析。在此基 础之上,对防火墙体系结构进行子分析,提出一种充分利用现有技术的主 机防火墙系统的设计方案,即在保留传统网络边界防火墙的同时,设计一 种驻留在内部网络终端的主机防火墙及其控制中心,将防火墙延仲到内部 网络的终端,从而有效防范来自网络内部的非法访问与恶意破坏。对外的 防御工作可以仍然由传统网络边界防火墙来完成。 本文中的主机防火墙被设计为一种包过滤防火墙,利用发起网络通信 的IP地址、TCP/UDP端口号,协议种类等特征对网络终端发出的数据包 进行监控。主机防火墙上的过滤规则由管理员统一设置,针对包的过滤由 防火墙统一操作 文中对包过滤技术进行了定义,并利用BNF( Backus- Naur fom)范 式对主机防火墙包过滤规则的形式化描述进行了定义,然后根据防火墙系 统的体系结构特点以及对实时性、稳定性的高要求,做出相应的改进 最后,实现了一个工作在 Windows XP, Windows2000操作系统上, 主要基于有状态过滤及规则定义,并利用TDI( Transport Data Interface) 与NDIS( Network Driver Interface Specification)技术对网络数据包进行拦 截的主机防火墙,以及一个工作在 Windows操作系统上的控制中心,并对 相关的技术细节进行了分析,所有的软件开发工作均在 Visual c++60集成 开发环境下完成。 【实例截图】
【核心代码】
本文在对主机防火墙 的各种技术对比的基础之上,结合计算机网络安全的本质与要 求,对包过滤防火墙这一传统的防火墙体系结构进行了分析与改 进,提出一种充分利用现有技术与实验条件的包过滤防火墙系统 的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻 留在内部网络终端的主机防火墙,将防火墙延伸到内部网络的终 端,从而有效防范来自网络内部的非法访问与恶意破坏。
太原理工大学硕士研究生学位论文 本系统在吞吐量和网络延迟两个技术指标上与天网防火墙和 瑞星防火墙进行了测试比较,结果表明,系统的吞吐量比天网防 火墙和瑞星防火墙高而网络延迟却相对短一些。 总的来说,本文在对当今包过滤技术与数据包拦截技术研究 的基础上,分析比较了各种方法和技术的优缺点,针对无状态包 过滤的不足进行了改进,采用了内核态包拦截与有状态包过滤结 合的设计思想,用BNF范式对规则集进行了定义。测试证明, 本软件在采用了新技术后体现出了吞吐量高和网络延迟短的优越 性。 关键词:网络安全,防火墙,有状态包过滤 TDI, NDIS, BNF 太原理工大学硕士研究生学位论文 RESEARCH ON PACKETS FILTERING HOST FIREWALL ABSTRACT Because the traditional firewall believes that the exterior network could protect the inner network, so when people set down the securit strategies, they always make different filtering rules to exterior network and inner network. But in the recent several years the network attack from inner network increased a lot. the traditional border firewall couldnt resist this kind of attack, so the host firewall seems to be very important. In my thesis I analyze all sorts of technology of host firewall, after compare them to each other, I make some Improvement on the traditional packets filtering firewall, combined with the essence and need of network security, finally i propose one packets filtering firewall system design plan based on the technology and experiment we could use. That is to design a host firewall staying in the inner network terminal. It spreads the firewall to the terminal of twork so as to protect inner network from invalid visiting and malice damage The firewall that designed in the thesis is based on stateful packets filtering, that is to filter the data packets which come from inner network terminal according to the protocol types source and destination IP address, TCP and udp port numbers, then get balance between resource saving and network security. The filtering rules of firewall could add and delete by administrator according to needs ackets filtering work was controlled by control platform which is 太原理工大学硕士研究生学位论文 transparent to users. In firewall rules gathering I detined the depiction of packets filt ering rules with Backus-Naur Form. Because BNF is pretty accurate and working not associated to platform, so as long as the rules are obedient to BNF criterion, it could be executed strictly In the packets interception part, first we discuss about some realizing technologies of intercepting bottom layer packets in Windows, after compare the advantages and shortcomings, choose TDI filtering driver and NDIS middle layer driver under kernel mode to work. TDi filtering driver could get the particular information of visiting network processes, and intercept the packets of bottom layer protocols. NDIS middle laver driver could intercept not only IP packets, but also the non IP packets, it extends the packets filtering Just because of these advantages, the host firewall which developed by these technologies could be safer. All the software code was made in Visual C++6.0 In the tests part i compare the host firewall to Skynet firewall and Rising firewall on throughout and network delay time. The result shows that the throughout of the host firewall is higher than Skynet and rising firewall, at the same time the network delay time is shorter. In a nutshell, based on research of packets filtering and packets interception, I analyze and compare the advantages and shortcomings of all sorts of methods and technologies, make some improvement aimed at the weakness of stateless packets filtering, I take the packets interception under kernel mode with stateful packets filtering as the design, theory, then define rules gathering with BNE. The tests show the advantages of the host firewall with high throughout and short delay time. KEY WORDS: network security, firewall, stateful packets filtering TDI, NDIS, BNF IV 声明 本人郑重声明:所呈交的学位论文,是本人在指导教师的指导下, 独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名:祭忍b 日期:70627 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定,其 中包括:①学校有权保管、并向有关部门送交学位论文的原件与复印 件;②学校可以采用影印、缩印或其它复制手段复制并保存学位论文; ③学校可允许学位论文被查阅或借阅;④学校可以学术交流为目的, 复制赠送和交换学位论文;⑤学校可以公布学位论文的全部或部分内 容(保密学位论文在解密后遵守此规定 签名: 采哭1日期:24 导师签:久日期:2mb42 太原理工大学硕士研究生学位论文 第一章绪论 1.1研究背景 九十年代后期以来,计算机网络技术得到飞速发展,信息的处理和传 递突破了时间和地域的限制,网络化与全球化成为不可抗拒的世界潮流, Internet已进入社会生活的各个领域和环节,并愈来愈成为人们关注的焦 点。随着计算机的网终化和全球化,人们在日常生活中的很多活动将逐步 转移到网络上来。网络技术已经渗透到人类社会生活的方方面面,对人类 生产生活产生了巨大的影响。随着网终信息技术在各个领域中愈加应用广 泛与计算机技术和通信技术的不断发展,网络安全问题亦日渐呈现出来, 吸引着越来越多人的关注。据调査显示,每年全球因计算机网络的安全系 统被破坏而造成的经济损失达数百亿美元,因而各项关于网络及信息安全 方面的研究课题也应运而生,研究范围越来越广。新型产业、合作方式和 商业模式不断出现,世界迅速进入网络时代,现存的企业网络包括各种各 样的系统和平台,也都同样面临着网络安全的挑战。数字化时代的到来, 使得网络应用渗透到社会的各个领域,给人们提供了极大的便利, Internet 技术及其应用的不断发展,使计算机、通信和信息处理形成了网络时代巨 大而复杂的网络信息系统,此时,在 Intemet网络系统中,通信安全、计 算机安全、操作安金、信息安全等便成为人们最关心的问题 网络安全是网络安全应用中一个综合性课题,同时也是一个全局性的 问题,它包括如网络设备、网络操作系统、应用程序和数据安全等许多方 面的问题,涉及到技术、管理、操作等方方面面的因素。如果不注意网络 安全问题,没有采取安全措施,那么系统就有可能受到攻击。 Internet为人 们提供了发布和检索信息的场所,但也带来了信息被污染和破坏的危险 人们为了保护信息和数据的安全,创建了防火墙安全系统。 防火墙系统不是简单的能提供网络安全功能的路由器、主机系统或系 统的集合,而是一个安全的系统的方法,它能够对网络提供的服务和访问 进行定义并实现更高层次的安全策略。防火墙的主要目的是对受保护的网 络实现安全访问控制,其基本工作是隔离网络,采用规则集实施安全策 略。作为一种必不可少的安全实施机制,它可以将不可信网络同可信网络 隔离开。 太原理工大学硕士研究生学位论文 防火墙需筛选两个网络间所有的连接,决定哪些传输应该被允许,哪 些应该被禁止。最普通的防火墙特性包括:用边缘防御使网络访问安全 控制所有的网络输入、输出连接;通过预先定义的规则过滤数据,“认 证”用户和应用程序以确保允许它们访问内部网;为安全审计的目的而记 录行为;在可疑事件发生时通知可信任的人 传统的边缘防火墙只能对局域网的周边提供保护,这些防火墙会在流 量从外部的互联网进入内部局域网时进行过滤和审查。但是,它们并不能 确保局域网内部的安全访问。例如:黑客入侵一台已经接入了内部局域网 的计算机,一旦获得这台计算机的控制权,便可以利用这台机器作为入侵 其它系统的跳板。最新一代的安全性解决方案将防火墙功能分布到网络的 桌面系统、笔记本计算机以及服务器上。分布于整个公司内的防火墙使用 户可以方便地访问信息,而不会将内部网络的其他部分暴露在潜在的非法 入侵者面前。凭借这种端到端的安全性能,用户不论通过内部网、外联 网、虚拟专用网还是远程访问来实现与内部的互联都不再有任何区别。 1.2课题的研究现状 对于安全问题的研究,在网络出现以前,信息安全问题主要还只是指 对信息的机密性、完整性和可获性的保护,即面向数据的安全。而当互联 网出现以后,对于信息安全问题的研究和分析除了上述概念以外,其内涵 又扩展到面向网络使用者以及网络应用与服务的安全,即鉴别、授权、访 问控制、抗否认性和可服务性以及对于内容的个人隐私、知识产权等等的 保护。 目前信息安全方面的问题主要依靠密码、身份验证技术、数字签名 防火墙、安全审计、防病毒、防黑客入侵、灾难恢复等安全机制加以解 决,其中密码技术和网络信息安全管理是信息安全的核心,而安全标准和 系统评估是信息安全的基石。在研究网络安全问题时,为建立一个高效安 全的网络信息系统和网络运行坏境,人们的研究范围既包括各类具体的安 全产品,如防火墙、路由器、安全网关、虚拟专用网、入侵检测系统、漏 洞扫描、安全测试和监控产品等,同时也包括操作系统平台的安全性,从 操作系统本身的层次上考虑网络安全性,尝试把系统中可能引起安全问题 的部分从内核中剔除出去,使得网络和系统具有更高的安全性。 太原理工大学硕士研究生学位论文 作为网络安全技术之一的防火墙技术发展也经历了几个历程,最早防 火墙系统只是实现简单包过滤,那个时期的防火墙关注的是网络层和传输 层的保护,它只简单匹配单个包的包头信息,却忽略了数据包之间的联 系。为了不影响正常的通信,必须为防火墙开一些后门,而这降低了内部 网终的安全性。后来出现的状态检测包过滤解决了这个安全问题,它维护 了包与包之间的状态信息,从而使有方向的数据包可以通过防火墙而不存 在安全漏洞,但是状态检测只是记录数据包之间的关联性,然后根据它们 之间的关联性来决定此方向数据包是否能够通过,这种技术的出现主要是 为了解决在简单包过滤中存在的安全漏洞,并未对TCPP协议中的会话 连接实现跟踪。 基于应用代理技术的防火墙系统则更关心应用层的保护,通过一个透 明代理完成对于应用层的保护,它针对一些常见的应用协议比如SMTP (siMpleMailTransferProtocol),Pop3(posTOfficeProtocol3),http ( Hypertext Transfer Protocol), TELNET(TCPP用于远程终端服务的标 准协议),FTP( File Transfer protocol)等来做一些限制,由于代理技术上 的限制,目前采用这种架构的防火墙系统无法做到对应用协议的完全控 制。如果说,状态检测包过滤规范了网络层和传输层行为,则应用代理规 范的是特定的应用层协议上的行为。而基于这两种技术的传统型防火墙很 难实现基于状态检测和应用代理两种安全技术同时高效并行地工作,通常 在采用透明应用代理的时候防火墙只是简单工作在包过滤状态,令工作效 率大打折扣 针对上述问题提供解决方案的新一代混合型网络安全类保护产品正成 为主流趋势,其基本原理是既以状态包过滤的形态实现了对网络层的保 护,同时又根据TCPP协议栈的工作模式和特点,在状态检测包过滤的 基础上又实现透明的应用层信息过滤机制,从而使应用层安全策略与网络 层安全策略紧密结合;这种类型的安全产品能够实现对应用层的控制,并 针对不同的应用层协议,进行连接跟踪和服务分析,然后根据权限列表对 当前访问进行控制。它能通过基于网络服务的应用层监控和行为过滤机 制,分析应用层协议,过滤制定内容并记录相应的访问内容等相关信息。 太原理工大学硕士研究生学位论文 13本文的工作 本文首先讨论了计算机网络安全的本质和要求,然后对传统的网络防 火墙、主机防火墙及其所采用的技术进行了较为深入的技术分析。在此基 础之上,对防火墙体系结构进行子分析,提出一种充分利用现有技术的主 机防火墙系统的设计方案,即在保留传统网络边界防火墙的同时,设计一 种驻留在内部网络终端的主机防火墙及其控制中心,将防火墙延仲到内部 网络的终端,从而有效防范来自网络内部的非法访问与恶意破坏。对外的 防御工作可以仍然由传统网络边界防火墙来完成。 本文中的主机防火墙被设计为一种包过滤防火墙,利用发起网络通信 的IP地址、TCP/UDP端口号,协议种类等特征对网络终端发出的数据包 进行监控。主机防火墙上的过滤规则由管理员统一设置,针对包的过滤由 防火墙统一操作 文中对包过滤技术进行了定义,并利用BNF( Backus- Naur fom)范 式对主机防火墙包过滤规则的形式化描述进行了定义,然后根据防火墙系 统的体系结构特点以及对实时性、稳定性的高要求,做出相应的改进 最后,实现了一个工作在 Windows XP, Windows2000操作系统上, 主要基于有状态过滤及规则定义,并利用TDI( Transport Data Interface) 与NDIS( Network Driver Interface Specification)技术对网络数据包进行拦 截的主机防火墙,以及一个工作在 Windows操作系统上的控制中心,并对 相关的技术细节进行了分析,所有的软件开发工作均在 Visual c++60集成 开发环境下完成。 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论