1、 本 科 毕 业 论 文 基于 Windows 的个人防火墙系统 Windows-Based Personal Firewall System 姓 名: 学 号: 学 院:软件学院 系:软件工程 专 业:软件工程 年 级: 指导教师: 年 月 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 I 摘 要 互 联 网发展至今,其应用迅速地扩展到人类社会的各个领域 。 人们的生活、学习乃至工作对于网络的依赖也越来越多 ,个人用户俨然成为互联网上的主流群体 。 然而,由于网络的开放性,个人用户同时也成为互联网上最容易受攻击的群体,于是很自然的就出现了供个人用户使用的个人防火墙。个人防火墙
2、技术是由最初的 防火墙技术发展起来,建立在现代通信网络技术和信息安全技术基础上的应用性安全技术 ,是个人用户进行网络行为时的安全保障。在网络犯罪日益猖獗的今天,个人防火墙作为个人用户网络安全的第一道屏障,对保护网络用户信息安全有着重 要的意义。 本次毕业设计就是基于这一实际应用, 以 VC+ 6.0 为开发平台, 在 windows平台上开发一款个人防火墙系统。本系统核心采用 Winsock 2 SPI 技术, 利用 传输服务提供者实现网络封包 的 拦截,并 对封包内容进行分析, 根据 用户设置的 控管规则对封包进行 的合法性进行检查和过滤 ;同时提供简洁明快的界面程序,包括封包监视,应用规则
3、设置,日志查询及系统设置,实现对当前网络数据的 实时监视,应用程序访网的控制,历史操作记录的查询, 以及系统参数的设置和改变,以供用户及时地对可疑 的数据流和不安全的访网进程 做 有效的 处理。 关键词: 个人防火墙;封包过滤; Winsock 2 SPI厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 II Abstract With the development of the Internet, its application rapidly expands to various fields of human society. Peoples living, learnin
4、g and work have become increasingly dependent on networks, and personal users on the Internet have become the main groups. However, due to the openness of the network, personal users are the most vulnerable groups in Internet. So far, there have been many easy-to-use personal firewall products for p
5、ersonal users. Personal firewall originated from the firewall technology. As the network security for personal user, it is based on modern communication networks and information security technology. It is the first network security barrier to defind the personal user from the rampant crime activitie
6、s in the network. In our project, a personal firewall system is designed with VC + + 6.0 in the windows platform. The core of the system using Winsock 2 SPI technology, and the transport service providers is applied to intercept network packets. The packet content analysis control the legality of pa
7、cket inspection and filtering based on rules set by users. At the same time, this system provides important functions, including the packet monitoring, the application of the rules set up and the log inquiries.In this case, users can deal effectively with the insecure stream and the suspicious procc
8、ess in time. Key words: Personal firewall; Packet Filtering; Winsock 2 SPI 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 III 目录 第一章 引言 . 1 1.1 个人防火墙的研究背景和意义 . 1 1.1.1 防火墙的发展历史 . 1 1.1.2 防火墙的发展趋势 . 2 1.1.3 几款流行的防火墙简介 . 3 1.2 本文的研究内容 . 4 1.3 本 文 的组织结构 . 5 第二章 基本概念介绍 . 6 2.1 WINDOWS 网络协议架构 . 6 2.1.1 Windows 系统的总体架构 .
9、 6 2.1.2 Windows 操作系统中的 OSI 模型 . 7 2.1.3 Windows 操作系统中的 TCP/IP 协议 . 8 2.2 WINSOCK 服务提供者接口 (SPI) . 9 2.2.1 SPI 概述 . 9 2.2.2 传输服务提供者 . 10 第三章 系统详细设计 . 17 3.1 系统的开发目的和设计目标 . 17 3.2 系统总体设计 . 18 3.2.1 核心功能 . 18 3.2.2 工 作流程及功能用例 . 19 3.3 开发前的准备 . 22 3.3.1 管控文件结构定义 . 22 3.3.2 日志文件结构定义 . 25 3.4 核心模块 XMOGU.D
10、LL 详细设计 . 27 3.4.1 封包截获 . 27 3.4.2 访问控制 . 30 3.4.3 封包分析 . 38 3.4.4 与 Xmogu.exe 的交互 . 41 3.4.5 工具类 . 43 3.4.6 Xmogu.dll 生成和安装 . 43 3.5 主模块 XMOGU.EXE 详细设计 . 45 3.5.l 文件操作 . 46 3.5.2 主程序类 CPropertyApp . 52 3.5.3 隐藏的接口窗口 CMainFrame . 56 3.5.4 主窗口 CMainSheet . 59 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 IV 3.5.5 封
11、包监视窗口 CPacketMonitor . 60 3.5.6 管控规则窗口 CAcl . 62 3.5.7 日志查询窗口 CLogQuery . 64 3.5.8 系统设置窗口 CSystemSet . 66 3.5.9 任务栏图标 CSystemTray. 67 第四章 系统实现结果 . 69 4.1 安装 . 69 4.2 封包监视 . 70 4.3 控管规则 . 71 4.4 日志查询 . 72 4.5 系统设置 . 72 4.6 关于 . 73 第五章 结束语 . 74 5.1 存在的问题及解决方法 . 74 5.1.1 存在的问题 . 74 5.1.2 解决方法 . 74 5.2
12、自我总结 . 74 参考文献 . . 75 致谢 . 76 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 V Contents CHAPTER 1 INTRODUCTION . 1 1.1 THE SIGNIFICANCE AND RES EARCH BACKGROUND OF FIREWALL . 1 1.1.1 The history of firewall systems . 1 1.1.2 The trend of the firewall technique . 2 1.1.3 The introduction of some popular firewall sys
13、tems . 3 1.2 THE RES EARCH CONTENT OF THIS PAPER . 4 1.3 THE ORGANIZATION OF THIS PAPER. 4 CHAPTER 2 BASIC CONCEPTS . 6 2.1 WINDOWS NETWORK PROTOCOL ARCHITECTURE . 6 2.1.1 The overall structure of Windows . 6 2.1.2 The OSI mode in Windows . 7 2.1.3 TCP/IP protocol in Windows . 8 2.2 WINSOCK SERVICE
14、PROVIDER INTERFACE (SPI) . 9 2.2.1 An overview of SPI . 9 2.2.2 Transport service providers . 10 CHAPTER 3 SYSTEM DESIGN . 17 3.1 THE PURPOSE OF SYSTEMS DEVELOPMENT AND DES IGN GOALS . 17 3.2 THE SYSTEM OVERALL DES IGN. 18 3.2.1 Core function. 18 3.2.2 Work processes and functions of use case . 19 3
15、.3 PREPARATION FOR DEVELOPMENT . 22 3.3.1 The definition of control file structure . 22 3.3.2 The definition of the log file structure . 25 3.4 THE DESIGN FOR CORE MODULES XMOGU.DLL. 27 3.4.1 Packet interception . 27 3.4.2 Access Control . 30 3.4.3 Packet analysis . 38 3.4.4 Interaction with Xmogu.e
16、xe. 41 3.4.5 Tools Classes . 43 3.4.6 The generation and installation . 43 3.5 THE DETAILED DESIGN OF THE MAIN MODULE XMOGU.EXE . 45 3.5.l File operations. 46 3.5.2 Main Class CPropertyApp . 52 3.5.3 Hiden interface Window CMainFrame . 56 3.5.4 Main Window CMainSheet. 59 厦门大学本科毕业论文 基于 Windows 的个人防火墙
17、系统 VI 3.5.5 Packet monitor window CPacketMonitor . 60 3.5.6 Control rules window CAcl . 62 3.5.7 Query Log window CLogQuery . 64 3.5.8 System setting window CSystemSet. 66 3.5.9 Taskbar icon CSystemTray . 67 CHAPTER 4 THE FINAL SYSTEM . 69 4.1 INSTALLATION . 69 4.2 PACKET MONITOR . 70 4.3 CONTROL RU
18、LES. 71 4.4 LOG QUERY . 72 4.5 SYSTEM SETTINGS. 72 4.6 ABOUT . 73 CHAPTER 5 CONCLUDING REMARKS . 74 5.1PROBLEMS AND SOLUTIONS. 74 5.1.1 Problems. 74 5.1.2 Solutions . 74 5.2 SELF-SUMMARY . 74 REFERENCES . 75 THANKS 76 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 1 第一章 引言 网络安全问题自有网络的那天起就存在了,只是由于当时的局限性,人们并没有 给予 重视。
19、随着网络发展,人们对网络的依赖日益明显,网络安全问题也变得越来越严重,而个人防火墙则是个人计算机在网络上的安全保障。个人防火墙通常直接切入个人用户的操作系统,并接管用户操 作 系统对网络的 控制,使得运行在系统上的网络应用软件在访问网络的时候,都必须经过防火墙的过滤,从而达到控制用户计算机和网络之间连接的目的。本章首先介绍了防火墙的研究背景,从中可以了解到防火墙的发展历史、未来发展趋势以及现在市面上流行的几款防火墙;然后简要叙述本论文的主要研究内容;最后指出全文的组织结构。 1.1 个人防火墙的研究背景和意义 1.1.1 防火墙的发展历史 对于防火墙的发展历史,基于功能划分,可分为如下五个阶段
20、: 20 世纪 80 年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤( Packet filter)技术,是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。 到 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 最早推出了第二代防火墙,即电路层防火墙; 到 20 世纪 90 年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);到 1992 年, USC 信息科学院的 BobBraden 开发出了基于动态包过滤( Dynamic packet f
21、ilter)技术的,后来演变为目前所说的状态监视( Stateful inspection)技术。 1994 年,市面上出现了第四代防火墙, 即以色列的 CheckPoint 公司推出的基于这种 状态监视 技术的商业化产品 ; 到了 1998 年, NAI 公司推出了一种自适应代理( Adaptive proxy)技术,并厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 2 在其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。 此外,如果 基于实现方式划分,可分为如下四个阶段: 第一代防火墙:基于路由器
22、的防火墙,由于多数路由器中本身就包含有分组过滤功能,故网络访 问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第二代防火墙:用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和 报 警 功能。针对用户需求,提供模块化的软件包,是纯软件产品。 第三代防火墙:建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的,也有以硬件方式实现的。 第四代防火墙:具有安全操作系统的防火墙:具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上得到提高。 1.1.2 防 火墙的发展趋势 传统的防火墙
23、通常是基于访问控制列表 (ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称 “边界防火墙 “。随着防火墙技术的发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包 过滤技术。 在实际运用中,这些技术差别非常大,有的工作在 OSI 参考模式的网络层,有的工作在传输层,还有的工作在应用层。 随着新的网络攻击的出现,防火墙技术也 有 一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。 a. 防火墙包过滤技术发展趋势 在包过滤技术方面, 一些防 火墙 把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的
24、安全策略功能 ;一些防火墙针对目前已有防火墙的不足,采用多级过滤技术, 每种过滤技术对应于不同的网络层, 分层过滤,以弥补单独过滤技术 的 不足; 还有一些防火墙使自身具有病毒防护功能,可以防止病毒在网络中传播,比等待攻击的发生更加积极。 b.防火墙的体系结构发展趋势 厦门大学本科毕业论文 基于 Windows 的个人防火墙系统 3 随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的 延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于 ASIC 的防火墙和基于网络处理器的
25、防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了 CPU 的负担,该类防火墙的性能要比传统防火墙的性能好许多。 而 基于 ASIC 的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展 。 c.防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势,主要体现在集中式管理,分布式和分层的安全结构 , 强大的审计功能 , 自动日志分析功能 以及网
26、络安全产品系统化等方面。 另外,分布式防火墙技术逐渐兴起,并因其优越的安全防护体系,符合未来的发展趋势,在一出现便得到了许多用户的认可和接受。 1.1.3 几款流行的防火墙简介 如今市面上的防火墙产品数不胜数,那么,究竟那些产品功能强大,能真正提高计算机在网络中的安全系数呢?在 2008 年 Toptenreviews 发布的世界顶级防火墙排名中,位列三甲产品如下: 第一名 ZoneAlarm Pro ( Zone Labs 公司出品的网络防火墙) 这 是一款优秀的网络防火墙软件,使用很简单,界面易于浏览,具有很强的反探测和预防网络入侵的工具。只要在安装时填入 用户 的资料,安装完后重新开机, ZoneAlarm 就会自动启动,帮您执行任务。其主要功能模块包括定义信任和不信任的网络和区域,定制高级防火墙规则 , 应用程序控制 , 反间谍 , 反病毒软件监控 , 邮件保护 , 隐私保护 , ID 锁 , 警报和日志 。 第二名 Outpost Firewall Pro 防火墙 这 是一款短小精悍的网络防火墙软 件,包括了广告和图片过滤、内容过滤、
