我整理的投标书.doc

hope工作室 杭州汇文教育咨询有限公司Http深度检测防火墙方案投标书 hope工作室目 录一、公司介绍以及在本项目中的优势21.1 公司介绍21.2 公司在本项目中的优势2二、项目技术方案32.1 开发背景32.2 功能特色32.3 平台搭建32.4 系统框架42.5 技术路线4 2.5.1 网络黑、白名单功能.4 2.5.2 网络端口监控 .4 2.5.3 基于源IP、目的IP、源端口、目的端口、协议的控制. 2.5.4 IP过滤. 2.5.5 URL过滤. 2.5.6 HTTP保护功能.2.5.7 日志功能6三、项目管理方案63.1 项目计划成熟度63.1.1 整体管理63.1.2 沟通管理73.1.3 项目的状态周报制度83.2 质量控制管理83.2.1 质量基本规划83.2.2 质量保证83.2.3 质量检查93.3 配置管理93.4 风险控制9四、项目实施94.1 实施计划94.2 所需的资源列表94.2.1 硬件资源94.2.2 人力资源104.2.3 软件资源104.3 项目报价10Http深度检测防火墙方案投标书首先，感谢杭州汇文教育咨询有限公司的关注，以及提供我们参与此次项目的机会，让我们工作室的学员们能够更好地积累实战经验，为踏上社会之路做充分的准备。冀望于此次接触机会及交流过程，能够成为中国计量学院和杭州汇文教育咨询有限公司打开双方合作之门的良好基石。在调查和理解Http深度检测防火墙项目的目标，以及对Http深度检测防火墙相关背景分析的基础上，我们查阅了相关的资料并撰写了本文。旨在向杭州汇文教育咨询有限公司介绍我们对此项目的思路及相关建议，且展示hope工作室在此次项目上的计划、开发与创新能力。1、 公司介绍以及在本项目中的优势1.1 公司介绍公司名称 hope工作室地 址汇文计量班 所有制类别 股份制审定企业施工级别 平均人数 10人企业成立于2010年3月，曾获获班内抢答比赛第二名 工程师4名（包括两名测试工程师两名软件工程师） 本工作室，课堂表现活跃，课下讨论积极，组内气氛容恰。每个人对本阶段的c语言典型算法均能熟练运用，在本学校电子设计大赛上本组有三人独立完成了1000+C语言代码量的书写。本组分工明确，在ceo的布置下，每个人均能发挥100%的作用，小组内还有每周一次的学术讨论及互帮互助机制，即强带弱，快带慢，以至现在水平较平均且每个人都能独立完成自己的任务，在此次项目中我们深知团队的必要性，这正是我们组的优势所在，组内融洽的气氛无疑能将团队的和谐带入本项目中，并完成这个项目。我们的理想和目标是：生产出让客户满意的产品。1.2 公司在本项目中的优势 二、项目技术方案 2.1 开发背景：现如今在科技大爆炸的时代里，Internet 迅速发展，为我们提供了信息发布、信息检索的平台，但当我们陶醉于在大量资源共享的同时，信息污染、信息破坏这些问题也应运而生。为了保护数据及资源的安全性，出现了防火墙。这种保护装置可以使Web服务器不被非法用户攻击，检查并过滤那些大量占用消费服务器资源的请求，为用户的数据、资源以及声誉提供了保障。 2.2 功能特色：我们现在进行开发的Http深度检测防火墙是基于新的NDIS 6.2来进行的。NDIS相比于filter-hook driver，有较大的优势：u filter-hook在网络stack的顶端会跟Internet Connection Sharing (ICS)或其它网络组件冲突。u filter-hook基于ipfiltdrv.sys的callback机制，所以依赖ipfiltdrv驱动。u firewall-hook driver 不符合防火墙的要求，因为它在网络协议栈中的运行速度过高。而我们基于NDIS6.2平台下来开发的Http深度检测防火墙主要有以下功能：u 黑名单功能；添加、删除及清空黑名单。u 白名单功能；添加、删除及清空白名单。u 端口保护功能。u IP过滤u URL功能u HTTP功能u 日志功能利用NDIS-HOOK技术实现的Linux防火墙具有以下特点：u 编程方便、接口简单、思路明确、性能稳定；u 更灵活，可以仅仅截获自己所需要的信息，不需要冗余的代码；u 功能强大，可以截获所有DNIS和TDI函数完成的功能，比标准方式功能欠打很多；u 安全性高，这样截获封包较为底层，不容易被穿透；u 安装简单，方便，快捷。 2.3 平台搭建： Linux服务器上NDIS 6.2 2.4 系统框架： 防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。本防火墙软件主要是安装在Linux服务器上，保护WEB服务器不被非法用户攻击，主要是保护类似CC攻击，检查并过滤那些极消费服务器资源的请求。防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施，是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙系统结构图：防火墙 HTTP请求 防火墙系统 HTTP响应 TCP连接Intranet主机浏览器 服务器防火墙功能模块InternetCGIApache web 服务器2.5 技术路线： 2.5.1 网络黑、白名单功能网络访问白名单。受控的程序，不进入黑白名单的检查；不受控的程序，进入黑白名单的检查，在白名单内的程序放行，否则阻止。 2.5.2 网络端口监控 工作在应用层的服务程序首先和驱动程序创建的信息设备建立连接，获得句柄，调用DeviceIoControl和驱动程序进行通信，发送控制码，调用相应的内核中的处理函数。此函数遍历监听hash表，由表头指针找到hash表，从listen_entry结构中获取协议、地址、端口信息。然后通过listen_entry结构中保存的地址对象的信息，找到对应ote_entry结构中保留的此连接对应的pid信息。最后,返回应用层的时候，把刚才获得的协议、地址、端口信息和对应的pid信息存入listen_nfo结构中，并由pid得到对应的进程名pname。 2.5.3 基于源IP、目的IP、源端口、目的端口、协议的控制只有以下四个条件全部符合，才能匹配规则的基于五元组方面的控制:1.请求的源IP地址和地址掩码进行与运算等于规则的源IP 地址和地址掩码进行与运算；2.请求的目的IP 地址和地址掩码进行与运算等于规则目的IP地址和地址掩码进行与运算；3.规则的源端口号为0，或者规则的源端口号不为0，规则的源端口2为0，且请求的源端口号要和规则的源端口号相等。或者，规则的源端口号不为0，规则的源端口2也不为0，但是请求的源端口号要在规则的源端口号和规则的源端口号2之间。4.规则的目的端口号为0，或者 目的端口号不为0，但是规则的端口2为0，且请求的目的端口号要与规则的目的端口号相等。或者，规则的目的端口号不为0，规则的目的端口2也不为0，但是请求的目的端口号要在规则的目的端口号和规则的目的端口2之间。 2.5.4 IP过滤简单的黑名单白名单的IP过滤功能对于某些恶意的IP攻击已无法达到很好的防护，这种防护功能无法滤除IP持续对端口发送连接请求请求。只能通过特殊的IP防护功能进行防护，同一个IP若在时间x内 连接y次则在时间z内屏蔽此IP。1. 自行设置x、y、z。2. 客户向守护进程发出访问WEB站点的请求3. 守护进程一直监听相应的端口等待客户请求4. 当收到请求时记录下客户的IP，同时计算出在时间x内该IP的访问次数5. 若在时间x内该IP的访问次数小于y次则允许客户直接访问并检索高速缓存。6. 若在高速缓存中发现客户所需信息则将客户所需要的目标返回给客户7. 若没有在高速缓存中发现客户所需信息则连接web服务器8. 获取客户所需要的目标返回给客户，同时更新能高速缓存，之后直接从高速缓存中将客户所需的目标返回给客户。9. 结束后关闭系统。10. 若在时间x内该IP的访问次数大于或等于y次则时间z内屏蔽该IP。、流程图： 返 回 发送请求 用 户 时间Z内屏蔽该IP 返 回 信 息 用 户 信 息 大于 或者 等于 X时间内 Y 小于Y 客户 记录IP 守护进程有相应信息高速缓存访问次数无相应信息连接请求 2.5.5 URL过滤通过部署URL过滤，我们可以利用第三方公司的服务从终端用户过滤掉恶意或不恰当的互联网流量。除了可以简单的开启或关闭过滤功能外，我们也可以为特定的网站和用户开放这些内容或者站点。但是过滤只是对数据包内容进行检查，并按照防火墙的策略进行过滤，它没有去检查实际的目的地址。因此只要我们先通过 nslookup（nslookup是NT、2000中连接DNS服务器，查询域名信息的一个非常有用的命令）获取我们需要控制的网址的地址，把这个地址定义成一个具体对象。1. 自行设置x、y、z。2. RL对数据把内容进行检查。3. 通过nslookup获取客户的IP地址。4. 记录下该客户的IP，同时计算出在时间x内该IP的访问次数5. 若在时间x内该IP的访问次数小于y次则允许客户直接访问并检索高速缓存。6. 若在高速缓存中发现客户所需信息则将客户所需要的目标返回给客户7. 若没有在高速缓存中发现客户所需信息则连接web服务器8. 获取客户所需要的目标返回给客户，同时更新能高速缓存，之后直接从高速缓存中将客户所需的目标返回给客户。9. 结束后关闭系统。10. 若在时间x内该IP的访问次数大于或等于y次则时间z内屏蔽该IP。流程图:客 户守护进程验证码错误验证码正确发验证码高速缓存有相关信息无相应信息连接请求发送请求返回客户信息返回客户信息回发验证码2.5.6 HTTP保护功能若以恶意软件持续向端口发送请求时，简单的防火墙功能无法识别该请求是客户请求还是恶意软件的攻击。因此对打开了HTTP保护时，每IP第一次请求HTTP信息时生成一个随机验证码并回发给客户，若是恶意软件攻击是无法自行发回验证码的。因此当守护进程收到正确的随机验证码时则证明是客户请求，允许访问并转向到原来请求的网站， 并在一定时间内允许此IP直接访问。1. 客户向守护进程发出访问WEB站点的请求2. 守护进程一直监听相应的端口等待客户请求3. 当守护进程受到客户请求是时生成一随机验证码并回发给客户端同时屏蔽该客户请求。4. 在一定时间内，若客户发回验证码则在一定时间内允许客户直接访问并检索高速缓存。5. 若在高速缓存中发现客户所需信息则将客户所需要的目标返回给客户6. 若没有在高速缓存中发现客户所需信息则连接web服务器7. 获取客户所需要的目标返回给客户，同时更新能高速缓存，之后直接从高速缓存中将客户所需的目标返回给客户。8. 结束后关闭系统。9. 在一定时间内，若客户对随机验证码没有相应的回应而只是不停地像守护进程发出WEB站点的进程，则在一定时间内禁止该客户访问并屏蔽该客户向守护进程发出的访问请求。10.