防火墙软件立项报告

Firewall防火墙应用软件项目计划报告编写说明标题：Firewall防火墙应用软件类别：文档编辑软件：Microsoft Word 2003 中文版成员贡献：1引言41.1编写目的41.2定义41.3参考资料42项目概述42.1项目背景42.2项目目标52.3项目范围51.工作内容51)项目各项主要工作52.条件与限制51)项目应具备条件52)开发小组已具备条件53.产品5（1）程序5（2）文档5（3）运行环境54.服务55.验收标准62.3.1功能模块流程61)数据包处理模块62)数据库模块63)规则设计模块64)日志模块65)用户界面模块63 项目技术方案83.1 方案概述83.2 编程环境83.3 数据库的实现84项目计划94.1项目工作量估算94.2项目资源估算94.2.1人力资源94.2.2硬件资源94.3项目资金预算104.4项目进度105可行性分析105.1 技术可行性分析105.2 市场分析116 效益分析126.1 开发成本估算126.2 产品市场占有量预计126.3 效益预期127软件发展131引言1.1编写目的根据软件学院研究生构成比例和交流需求，我开发小组通过认真的讨论研究调查后，提出了防火墙的立项报告。此报告包括了项目的背景、目标；项目具体实现的功能范围；完成该项目的具体技术方案；以及项目可行性分析几大部分。1.2定义防火墙：一个位于计算机和它所连接的网络之间的软件。1.3参考资料2项目概述2.1项目背景防火墙我们并不陌生，在浩瀚的Internet海洋中，到处都有防火墙的影子。虽然见惯了防火墙，但我们对防火墙了解的也许并不多。防火墙的产生是出于网络安全考虑，如果网络没有潜在的威胁，我们根本就不需要防火墙。可以这样说，Internet网发展到今天，网络上的攻与守从来就没有停止过。也正是有了黑客的攻击，防火墙技术才不断得到发展，这是个相互推进的过程。随着黑客攻击手段的不断提高，防火墙的设计者所要考虑的问题也更多，实现起来也更加困难。发展网络安全技术已是刻不容缓，我们期待着更加智能、功能更加强大的防火墙出现。1、防火墙定义 防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。2、防火墙的功能 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目的计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。3、为什么使用防火墙 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。4、防火墙的类型 防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中；防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙；直接连在因特网的机器可以使用个人防火墙。在概念上，防火墙分为两种类型：网络级防火墙和应用级防火墙。这两种类型的差异并不像我们想象的那样大，最新的技术模糊了两者之间的区别，使哪个“更好”或“更坏”已不再那么明显。2.2项目目标防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。本项目组根据目前网络普遍存在的安全隐患问题，制作防火墙，系统稳定高效、使用可靠。其中，要求防火墙的功能灵活、配置方便，力求能够抵御拒绝服务攻击，能够针对用户身份过滤，提供扩展、升级等服务维护要求。2.3项目范围1. 工作内容1) 项目各项主要工作网络中数据包的截获对包过滤规则的定义和设计对包过滤规则载数据库中的存入，读取，及修改界面设计与业务逻辑文档设计与管理2. 条件与限制1) 项目应具备条件开发环境IDE网络条件操作系统2) 开发小组已具备条件开发环境IDE网络条件操作系统3. 产品 （1）程序 程序名称：FireWall.exe 语言：C+, 基于MFC框架 （2）文档 项目管理文档 包括：软件项目计划、项目进度报告、项目开发总结报告 软件开发文档 包括：需求规格说明、概要设计说明、详细设计说明。 软件测试文档 包括：测试计划、软件测试分析报告。 产品资料 包括：用户操作手册。 （3）运行环境 硬件环境：P3 800，64MB 及以上配置 软件环境：Windows XP 及以上版本，MFC 4.2， Microsoft Access4. 服务免费的在线更新服务5. 验收标准正常运行，起到防火墙的作用2.3.1功能模块流程1、总体结构和模块外部设计1) 数据包处理模块负责从网络拦截数据包并进行解包操作，然后跟据解包情况与数据库规则进行匹配，阻塞或转发包2) 数据库模块将防火墙规则，日志等用数据库表的形式进行保存，便于以后操作3) 规则设计模块定义防火墙规则4) 日志模块负责查看日志，保存日志5) 用户界面模块负责与用户进行交互2、总体的处理流程解包应用规则分析报头字段IP UDP 和TCP包是否允许被传输是否添加新规则添加新规则阻塞包允许包是否是否3 项目技术方案3.1 方案概述解析包包过滤上行进 出（包过滤）FireWall防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。3.2 编程环境使用Visual Studio 6.0，基于MFC框架进行开发。 MFC框架方便了团队开发WinOS下工作的防火墙。3.3 数据库的实现本系统采用Microsoft SQL Server 2000作为后台数据库。其内置的数据库引擎可以控制访问权限并快速处理数据，搜索引擎可以对SQL Server 表中的数据进行索引，并执行多种条件的查询，快速返回结果。便于防火墙日志的管理和规则的访问以及操作。数据库管理员和开发人员可以方便地利用其进行数据库管理或编写相应的SQL语句。4项目计划4.1项目工作量估算开发阶段所占比例直接工作量（天）需求收集和分析阶段12.5%15天概要设计阶段12.5%15天详细设计阶段16.7%20天编码和单元测试阶段29.2%35天集成和集成测试阶段12.5%15天系统测试阶段12.5%15天部署阶段4%5天开发工作量汇总120天4.2项目资源估算4.2.1人力资源角色知识技能要求建议人数项目经理有相关项目经验，较好的沟通与表达能力，以及分析问题解决问题的能力。 1人需求开发人员对防火墙的相关内容有较为详细的认识1人系统设计人员曾参与或设计过类似系统，在系统设计方面比较有经验1人编程人员熟悉Visual studio 6.0，曾经做过或接触过相关平台的软件开发。较强的责任心和良好的团队协作精神, 有较强的沟通能力，掌握Microsoft SQL Server数据库开发。4人测试人员有较强学习能力，具有相关项目的测试经验1人4.2.2硬件资源资源名称级别详细配置获取方式费用(人民币)开发及测试用机4台关键略购买14，000元Microsoft SQL Server 数据库软件关键略购买10，000元Microsoft VC6.0关键略需要购买6，000元软硬件资源合计30，000元4.3项目资金预算（预计时间4个月，开发人员4人）条款成本（人民币 元/半年）备注人力资源￥48,000工资（平均3000元/月）办公资源￥10,000办公场地租用，办公用品不可预见费￥3,000针对开发过程突发事件、变更事件（如加班等）总计￥61，0004.4项目进度任务名称交付成果11月12月1月2月3月需求分析需求分析说明书11.25系统设计软件架构及系统设计方案 12.20软件编码系统软件及编码文档 1.25软件测试软件测试报告 2.10项目验收防火墙 3.55可行性分析信息是现今社会最大的财富，因特网的出现使得信息得以广泛地传播共享。网络信息的传播促进了防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。下面对这一问题做进一步的阐述。5.1 技术可行性分析从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如 ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。 受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)。对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成 网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。 这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前， 业界应用较多的SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量， 也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。 本防火墙使用VC+6.0进行开发，通过使用MFC或者Windows SDK开发防火墙的界面，使其有一个交互式的用户界面，同时使用Socket编程等丰富的网络编程函数实现其内部功能，而防火墙的数据库则使用SQL Sever 2000实现。SQL Server 2000作为微软公司一款成熟的数据库管理系统，具有快速、安全、稳定等特点。因此从目前的技术角度来看，开发一套防火墙在技术上是可行的。5.2 市场分析2004年上半年，中国网络安全市场仍然是一派火爆场面。各种病毒泛滥，黑客攻击频繁，垃圾邮件扰人，网络安全始终是热门话题之一。网络与信息安全问题不仅受到了用户的重视，也受到了政府管理部门的重视；市场对网络安全产品的需求仍在快速增长，对厂商来说更是一个利好消息。网络安全产品市场正在迎来一个发展的良机。2004年上半年，中国网络安全产品市场的销售总额达13.34亿元，比2003年上半年增长43.3%，保持了良好的发展势头。为下半年的市场增长奠定了很好的基础。目前中国网络安全产品市场仍呈快速增长，并逐渐走向成熟之势。细分市场规模网络安全产品主要细分产品包括防杀毒软件、防火墙、入侵检测系统、信息加密以及安全认证等。2004年上半年，中国网络安全产品市场中，防杀毒软件和防火墙仍然占据主要市场份额，两者合计占总市场70.5%的份额。2004年上半年，中国网络安全产品市场主要表现出以下几个特点：网络安全市场同比增长43.3%，安全服务成为2004年上半年网络安全市场厂商竞争的焦点。以瑞星、江民和金山等为代表的网络安全厂商紧紧地依靠服务个人消费用户市场；而防火墙产品等企业级用户厂商则更依赖于价值不断提升的服务来巩固中高端市场。安全服务提供包含从高端的全面安全体系，到细节的技术解决措施等各方面。自2003年以来，专业安全服务已成为网络安全的重要内容，用户的安全服务投资也已经成为网络安全整体投资的重要组成部分。服务将成为网络安全市场利润来源的新增长点，因此专业安全服务已经引起厂商和用户的高度重视。2004年上半年，中国网络安全产品市场的销售总额达13.34亿元，比2003年上半年增长43.3%，增长势头明显。排除2003年上半年受“非典”影响的因素，2004年上半年网络安全市场也保持着持续快速增长。目前中国网络安全产品市场仍开始逐渐走向成熟。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。防火墙产品面临着很大的市场需求。 同时，未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。综上所述，防火墙具有良好的市场前景。6 效益分析6.1 开发成本估算 系统预计开发时间为4个月，开发人员为4人，产品投入估计为65，000元人民币。6.2 产品市场占有量预计市场总量已使用防火墙的用户预计本系统使用量800008000*15% = 12006.3 效益预期条款人民币（元）备注初期原始开发成本￥65,000产品版本升级价格（6个月