004 开题报告范文.pdf

基于包过滤防火墙的研究与实现 开题报告 1 基于包过滤防火墙的研究与实现 计 076 10062999 王大帅 摘要 随着网络的迅速发展 普及与扩展 与之而来的是更多的安全问题 防火墙是网 络安全的屏障 配置防火墙是实现网络安全最基本 最经济以及最有效的安全措施之一 本文从防火墙的基本技术原理对防火墙进行研究 并实现一个具有协议过滤 端口过滤 源 IP 地址和目的 IP 地址过滤的小型软件防火墙 关键词 网络安全 防火墙 防火墙技术 数据过滤 1 研究背景 1 1 国内外现状 随着信息安全的飞速发展 网络安全日益成为重要的问题 谈到保护信息安全 人 们一般会联想到防火墙 国内外的产品中有着许多优秀的个人防火墙 接下来便根据 2009 年防火墙排名情况对其稍作介绍 国外的防火墙一般在 NDIS 层安装过滤钩子 通常以挂接 ndis sys 模块的导出函数 最著名的要数以色列 CheckPoint 公司下属的 Zone Labs 出品的网络防火墙程序 ZoneAlarm 其特点是技术精湛 功能强大和防护全面 该产品包含防火墙 反间谍软 件 邮件保护 系统防火墙和隐私信息保护等安全组件 排名其次的是俄罗斯 Agnitum 公司出品的 OutPost Firewall OutPost 是该公司出品 的一个计算机安全产品系列 OutPost Firewall OPF 是其中针对家庭和小型办公用户 的防火墙产品 该产品的学习功能较为强大 主要特性是 带有学习模式的防火墙组件 带有学习模式的主动防御模块 DNS 缓存保护 Web 页交互元素控制 反间谍模块 网络控制模块 自我保护功能以及网络日志等多项优秀特性 此外 国外还有很多非常不错的产品 如 Norman personal firewall eConceal pro Webroot desktop firewall Injoy firewall 和 Surfsecret firewall 等 下面主要介绍 eConceal pro 和 SurfSecret firewall eConceal pro 是大家比较陌生的一款防火墙 eConceal 的 Windows 版本是一款强大 又高级的局域网 广域网计算机网络防火墙 eConceal 允许用户自定义包过滤和访问控 制安全规则 本防火墙工作于底层 允许为基于例如 ARP 这种非 IP 协议定制规则 同 时支持多网卡 SurfSecret firewall 是一款功能超强的网络安全工具 提供三个级别保护 紧急防护 上锁功能 自订上锁条件 屏幕保护程序启动时 或者定时上锁 过滤器设定精灵 可 基于包过滤防火墙的研究与实现 开题报告 2 以指定允许哪些 IP 透过哪个端口联机到您的计算机 支持 IP 地址范围 IP 地址屏蔽 可以在封包被阻挡后发出提示 并且自动计数 详细记录最后 10 个联机到本机的 IP 国内方面也有着很多著名的安全产品公司 比如说瑞星 金山 江民 风云 费尔 冰盾和 360 等等 国内的主要在 TDI 层安装过滤钩子 不过随着最新技术的发展 也已 经有很多信息安全公司做 NDIS 层的产品了 瑞星防火墙给用户一种相当舒服的配色和布局 功能模块上 IP 包过滤 恶意网址 拦截 应用程序监控等功能一应具备 说明也是比较清晰 使用户较容易上手 缺点就 是瑞星在同类国内产品中硬盘使用容量严重过高 几乎是其他产品的 2 6 倍 金山公司出品的金山杀毒套装中 金山网镖的易用度也比较高 在对程序进行拦截 识别之余 给出较贴切的提示建议帮助用户去选择 对初学者来说比较适合 但是本产 品过滤效果就个人使用下来的感觉不是很好 较容易被别的过滤软件抢占过滤钩子 相对而言 江民防火墙的界面就显得苗条了许多 而对于程序审核 选项还是比较 多样的 规则设定上 江民防火墙使用了综合选框的形式 较为适合中高级用户操作使 用 但在其屏蔽端口能力上较为薄弱 通过 Shields UP 端口检测可知江民防火墙对大部 分端口只是简单的关闭端口而不是隐蔽端口 学校里普遍应用于各台学生上级用机的防火墙是天网防火墙 和江民防火墙一样 天网防火墙同样采用了方便的可伸缩式面板 平时 各项常用功能均以按钮的形式出现 在主面板上 对于一些预设的 IP 规则 在界面下方还有相当详细的注释 设计在主面 板上的流量监视器 也很实用 当网络中出现一些异常流量时 监视器能够直观地将其 显示出来 帮助用户在第一时间处理可能出现的威胁 而在其规则设置面板 各项参数 提供的非常齐全 大大降低了新手的操作难度 实属不错的个人防火墙 上述几个防火墙基本涵盖了大部分国内防火墙产品的种类 目前也没有哪个防火墙 产品能做到十全十美 一般都是在某方面具有优势 因此 较先进的网络安全防护技术 提供多层的访问控制 除了采用防火墙来高效地保护内部网络外 系统自身的安全防护 也不可忽视 不过 防火墙自身依然存在着一些的瑕疵 虽然自我防护能够保证不被任务管理器 结束进程 但不能抵抗 IceSword 冰刃 的终结进程操作 使得黑客攻击时依然有漏洞 可寻 1 2 研究意义 目前 社会各个方面都越来越依赖计算机网络 由于计算机网络的脆弱性 一旦计 算机网络受到攻击而不能正常工作 整体就可能瘫痪 为了防止内部网络被入侵 须不 断提高自身网络安全 目前采取的网络安全防范措施有 安全内核技术 鉴别技术 WEB 安全技术 网络反病毒技术和防火墙技术 基于包过滤防火墙的研究与实现 开题报告 3 防火墙是一种非常有效的网络安全模型 防火墙的作用是防止不希望的 未授权的 通信进出被保护的网络 强化自己的网络安全策略 在配置上可防止来自外部未经授权 的交互式登陆 这大大有助于防止破坏者登录到本地用户的计算机上 一些设计精巧的 防火墙既可以防止来自外部的信息流进入内部 又允许内部的用户可以自由地与外部通 信 如果从防火墙处切断网络 就可以保护用户免受任何外部的攻击 防火墙可使内部主机在很大程度上免受攻击 但也不是绝对安全的 在面对内部攻 击 绕行攻击 恶意程序和病毒时就显得力不从心了 2 文献综述 防火墙是设置在被保护网络和外部网络之间的一道屏障 实现网络的安全保护 以 防止发生不可预测的 潜在破坏性的入侵 防火墙本身具有较强的抗攻击能力 是提供 信息安全服务 实现网络和信息安全的基础设施 Internet 采用 TCP IP 协议 在不同的 网络层次上设置不同的屏障 构成不同类型的防火墙 从工作原理角度看 防火墙技术 主要可分为网络层防火墙技术和应用层防火墙技术 这两个层次的具体实现有包过滤防 火墙 代理服务器防火墙 状态检测防火墙和自适应代理防火墙 在这部分 先综述防 火墙的功能 再在前四节描述防火墙的四种类型 最后给出 WINSOCK 2 SPI 与 OSI7 层模型的对应 防火墙主要可以提供如下服务 网络安全的屏障 强化网络安全策略 对网络存取 和访问进行监控审计 防止内部信息的外泄和安全策略检查 防火墙是信息进出网络的必经之路 检测所有经过的数据细节 并根据事先定义好 的策略允许或禁止这些数据的通过 一个防火墙可极大的提高内部网络的安全性 并通 过过滤不安全的服务而降低风险 通过以防火墙为中心的安全方案配置 能将所有的安 全功能 如口令 加密 身份认证和审计等 配置在防火墙上 防火墙能记录下所有访 问并作出日志记录 同时也能提供网络使用情况的统计数据 当发生可疑操作时 防火 墙能进行适当的报警 并提供网络是否受到监测和攻击的详细信息 通过利用防火墙对 网络的划分 可实现内外网隔离 从而限制了局部或敏感网络安全问题对全局网络造成 的影响 2 1 包过滤防火墙 包过滤又称报文过滤 是防火墙传统的 最基本的过滤技术 防火墙的包过滤技术 就是通过对各种网络应用 通信类型和端口的是用来规定安全规则 根据数据包中包头 部分所包含的源 IP 地址 目的 IP 地址 协议类型 TCP 包 UDP 包和 ICMP 包等 源端口 目的端口以及数据包传递方向等信息 对通信的数据进行过滤 允许符合规则 基于包过滤防火墙的研究与实现 开题报告 4 的安全数据包通过 而将那些不符合规则的数据包丢弃 包过滤技术最早是在路由器上进行的 包过滤技术的实现相对较为简单 只需对每 个数据包与相应的安全规则进行比较即可得出是否通过的结论 因此让 CPU 来处理包 过滤的时间非常短 执行效率也非常高 这种过滤机制对用户来说是透明的 根本不用 用户先与防火墙取得任何合法身份 符合规则的通信 用户根本感觉不到防火墙的存在 使用起来很方便 因此包过滤技术的应用非常广泛 但是这种技术也有缺点 如果特定的应用程序需要端口或者在交易完成后关闭端 口 在这种配置下 就不能用简单的方法打开端口了 如果端口是打开的 在防火墙上 会有一个可以用来攻击的漏洞 另一个主要缺点就是不知道文件头之外任何端口的内 容 所以 如果数据包有一个有效地文件头 就可以包含许多载荷 这就是一个很容易 利用的普通漏洞 由此便诞生了代理服务器防火墙 2 2 代理服务器防火墙 代理服务器防火墙工作在 OSI 模型的应用层 因此 代理服务器防火墙又称为应用 层网关 该防火墙通过一种代理技术参与到一个 TCP 连接的全过程 代理服务器像一 堵墙一样挡在内部用户和外界之间 分别与本地主机和外部网络连接 作为内外网络的 隔离点 起着监视和隔绝应用层通信流的作用 从外部看只能看到该代理服务器而无法 获知任何的内部布局 代理服务技术能够记录通过他的一些信息 如什么用户在什么时间访问过什么站点 等 这些信息可以帮助网络管理员识别网络间谍 代理服务器通常都拥有一个高速缓存 该缓存存储用户频繁访问的站点内容或页面 在下一个用户要访问该站点的这些内容 时 代理服务器就不用连接到互联网上的服务器重复地获取相同的内容 而是直接将本 身缓存中的内容发出即可 从而节约了访问的时间和网络资源 代理服务技术安全性好 不给内外网络的计算机以直接会话的机会 从而避免了入 侵者使用数据驱动类型的攻击方式入侵内网 易于配置 作为一个软件 代理服务较过 滤路由器更易配置 此外 代理服务还能生成各项记录 能灵活 完全地控制进出的流 量和内容 能为用户提供透明的加密机制 更可以方便地与其他安全技术集成 但是代 理服务技术工作于应用层 按特定的应用协议审查 扫描数据包的内容 并进行代理服 务 速度就相应较慢 也因为工作在 TCP IP 协议的应用层 代理服务技术不能改善底 层通信协议的能力 对 IP 欺骗 SYN 洪水 ICMP 伪造和一些 DoS 攻击无能为力 2 3 状态检测防火墙 状态检测技术由 Check Point 公司率先提出 又称动态包过滤技术 本技术有非常 基于包过滤防火墙的研究与实现 开题报告 5 好的安全特性 使用一个在网关上执行网络安全策略的软件模块 称为检测引擎 检测 引擎在不影响网络正常运行的前提下 采用抽取相关数据的方法对网络通信的各层实施 检测 这种技术会把抽取的状态信息动态地保存 作为以后执行安全策略的参考 检测 引擎维护一个动态的状态信息表并对后续的数据包进行检查 一旦发现任何连接的参数 有意外变化 该连接就被终止 状态检测技术监视跟踪每一个有效连接的状态 并根据这些信息决定对应数据包是 否能通过防火墙 状态检测技术在协议栈底层截取数据包 然后分析之 并将当前数据 包和状态信息与前一时刻的数据包和状态信息进行比较 从而得到该数据包的控制信 息 来达到保护网络安全的目的 状态检测技术结合了包过滤技术和代理服务技术的特点 与包过滤技术一样的是对 用户透明 能够对 OSI 网络层上通过 IP 地址和端口号过滤进出的数据包 与代理服务 技术一样的是可以在 OSI 应用层上检查数据包内容 查看这些内容是否能符合安全规 则 状态检测技术克服了包过滤技术和代理服务技术的局限性 能根据协议 端口及源 地址 目的地址的具体情况决定数据包是否通过 但是状态检测防火墙存在的缺点就是 可能造成网络连接的某种迟滞 不过硬件运行速度越快 这个问题就越不易察觉 2 4 自适应代理防火墙 最新推出的自适应代理防火墙技术 本质上也属于代理服务器防火墙技术 但该技 术结合了动态包过滤 状态检测 技术 这是商业应用防火墙中实现的一种革命性的技 术 组成这类防火墙的基本要素有两个 即自适应代理防火墙与动态包过滤器 这项技 术结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点 在保证安全性的 基础上将代理服务器防火墙的性能提高数倍以上 在两者之间存在一个控制通道 在对 防火墙进行配置时 用户仅仅将所需要的服务类型 安全级别等信息通过相应代理的管 理界面进行设置就可以了 这样 自适应代理防火墙就可以根据用户的配置信息 决定 是使用代理服务器从应用层代理请求还是使用动态包过滤器从网络层转发数据包 2 5 OSI 模型与网络通信结构 计算机开放系统互连 OSI 模型将网络通信结构分为 7 层 从下到上依次为物理 层 数据链路层 网络层 传输层 会话层 表示层和应用层 把 windows 结构概略地 映射到这七层协议 可以对其有更直观的认识 整个 OSI 七层模型可以用图 2 1 表示 物理层对应的是网卡 网卡的作用是将线路发送过来的高频电流转化成数据包传送 给网卡驱动程序 和将网卡驱动程序传送过来的数据包转化成高频电流发送到线路上 基于包过滤防火墙的研究与实现 开题报告 6 去 OSI 7 层协议模型 Windows 结构 7 应用层 应用层 7 应用程序 EXE 6 表示层 6 Winsock API DLL 5 会话层 5 SPI DLL 4 传输层 核心层4 TDI vxd sys 3 网络层 3 NDIS vxd sys 2 数据链路层 2 网卡驱动程序 vxd sys 1 物理层 1 网卡 图图 2 1 OSI 7 层协议模型与层协议模型与 windows 结构的映射结构的映射 数据链路层是网卡驱动程序 驱动负责与 windows 的交流 NDIS 是 windows 的网 络驱动接口规范 因此网卡驱动程序到协议驱动程序都要利用 NDIS 这个规范来进行操 作 网络层是 NDIS 一方面通过网卡驱动程序向网卡传达 windows 的意思 另一方面 将从网卡驱动程序得到的网卡的意思传达给上一层 TDI 传输层是 TDI 这是传输驱动接口 不仅仅是一个简单的传送带 更要对信息进行 检索 分类并重新组织 TCP 协议的封包处理就是在这一层进行的 会话层是 SPI 这是服务提供者接口 这层开始属于应用层范畴 负责连接核心层 驱动程序和高层应用程序 表示层是 API 为应用程序提供接口 负责 SPI 与应用程序间的数据传输 应用层对应应用程序 常见的就是 exe 文件 3 技术路线 封包过滤技术是最原始的防火墙所拥有的一种功能 该功能简单强大 直到现在都 是任何一个防火墙必不可少的功能 想要在网络数据包到达应用程序之前拦截之 就要 在系统的网络协议栈上面安装过滤钩子 WINNT 内核下 可安装过滤钩子的地方大致 从高到低有 SPI 层 早期的天网防火墙 TDI 层 国内不少防火墙 NDIS 层 ZoneAlarm OutPost 等 越位于高层 则产品开发难度越低 但是功能越弱 越容 易被攻击者所穿越 其中 在应用层封包过滤的话可以采用 WinSock 2 SPI 进行 在核 心层进行封包过滤的话可以采用 NDIS HOOK Winsock 2 SPI 工作在 API 之下 Driver 之上 属于应用层的范畴 利用这项技术 可以截获所有的基于 Socket 的网络通信 比如 IE OUTLOOK 等常见的应用程序都是 使用 Socket 进行通信 Winsock 2 SPI 工作在应用层以 DLL 的形式存在 编程测试都较 为方便 可以直接在 Windows98 ME NT 2K XP 上通用 基于包过滤防火墙的研究与实现 开题报告 7 整体模块构思如图 3 1 所示 图图 3 1 防火墙模块设计图 防火墙模块设计图 VC 是 Microsoft 开发的一个功能强大的 C 语言开发工具 为使用 C 语言进行 程序设计的编程人员提供了可视化的集成开发环境 C 是一种静态数据类型检查的 支持多重编程范式的通用程序设计语言 C 支持过程化程序设计 数据抽象 面向对 软 件 防 火 墙 额 外 功 能 模 块 于系统启动时加载 自动启动过滤 数 据 包 协 议 控 制 模 块 UDP 协议控制 TCP 协议控制 ICMP 协议控制 端 口 及 地 址 控 制 模 块 允许用户指定需过滤的端口 过 滤 控 制 模 块 开启过滤 最小化至托盘图标 所有协议 关闭过滤 允许用户指定需过滤的源 IP 地址 允许用户指定需过滤的目的 IP 地址 基于包过滤防火墙的研究与实现 开题报告 8 象程序设计 制作图标等等泛型程序设计等多种程序设计风格 VC 是与其相对应的 IDE 集成开发环境 其中 MFC 类是相当常用的开发类 MFC 是对 WINDOWS API 的封装 已经大大简化了程序员的工作 其中最重要的 MFC 包括有 CWnd CDocument CView 和 CWinApp 等等 本课题将以 Microsoft R Windows xp R Build 2600 xpsp sp3 qfe 091208 2029 Service Pack 3 作为操作系统背景 使用 Visual Studio NET 2003 作为基本开发编程环境 主要功能是对进出于本计算机的数据包根据既定规则进行过滤 图 3 2 是防火墙大概设计界面 监视菜单子选项有开始 停止 清空列表和退出选 项 设置菜单下有规则设置和默认选择 关于菜单下就是本防火墙的基本开发信息 图 3 3 是防火墙规则设置界面示意图 设置界面中协议类型以及方向控制采用下拉式菜单 目的或源 IP 地址以及目的或源端口这两项采用文本框输入方式 图图 3 2 模拟用户界面图 模拟用户界面图 图 图 3 3 用户设置规则图形界面 用户设置规则图形界面 目的 IP XXXXXXXX 目的端口 XXXXXX 源 IP XXXXXXXX 源端口 XXXXXX 协议类型 ALL TCP ICMP 操作 丢弃 个人防火墙 v0 0 1 标题栏 监视 设置 关于 菜单栏 规则列表 XXXXXX XXXXXX 基于包过滤防火墙的研究与实现 开题报告 9 本防火墙选项中将给予两个选项 于系统启动时启动程序和运行后自动启动过滤并 最小化隐藏为图标 在 Visual Studio NET 2003 上开发本防火墙 通过调用 API 函数和对网络接口添加 过滤器 截取数据包并根据用户指定规则进行过滤 最终实现防火墙端口控制 数据包 地址控制和数据包协议控制等数据过滤的基本功能 接下来对每个模块详细说明 额外功能模块中 于系统启动时启动是通过写入注册表项实现 windows 系统启动后 本程序自动启动 自动启动过滤是通过启动初始化本程序框架后自动调用开始过滤函数 最小化则是 在自动启动过滤功能调用成功后使用最小化隐藏函数 数据包协议控制模块 用以对各种协议类型数据包进行过滤 数据包截获并分析协 议类型 可以根据用户需求对各种本防火墙支持的数据包协议类型诸如 TCP UDP 以 及 ICMP 三种做到分别过滤 以满足用户需求 过滤控制模块 由用户手动开启或者关闭本防火墙监视功能 通过用户的操作 通 知程序加载或者卸载接口过滤钩子 根据用户当前不同环境进行监视过滤 使得用户操 作更为简便 而不是以往的需要关闭整个应用程序才能停止防火墙功能 端口及地址控制模块 根据用户指定过滤端口 源 IP 地址和目的 IP 地址达到封包 目的 通过在个人防火墙添加规则界面的改动 允许用户根据自己需要设定应当被过滤 的规则 规则属性有以下几项 源 IP 地址 目的 IP 地址 源端口 目的端口 协议类 型和操作 程序主要函数如下 开启过滤函数 OnStart 停止过滤函数 OnStop 获取系统网 络接口函数 GetAdapterInfo 获取主窗口框架句柄函数 GetActiveView 和 GetActiveDo cument 添加规则函数 OnAdd 移除规则函数 OnRemove 和修改规则函数 OnEdit 等函数 把这些函数整合到一起 最终 windows 下用户图形界面具有封包监视 端口和地址 控制和协议控制等功能的简单个人防火墙 4 进度安排