文档介绍：ge
防火墙与入侵检测课程设计报告
软硬件运行环境
硬件推荐配置
内存:128M 及以上配置
其他:无特殊要求
软件运行环境
操作系统:windows 2000 及以上版本
其他:无特殊要求
项目研究背景与意义
背景意义:
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、,它是一种计算机硬件和软件的结合,之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(2)需求分析:
关键技术及解决方案
概要设计:
网络包的分析
各种类型报文对象的构造:
由于pcap每次抓到一个数据包,会提交其信息,方式为以unsigned char* 指向的一段缓冲区,现将缓冲区前14个字节读入,按以太帧格式构造以太帧头部的对象。然后根据以太帧头部中的Type字段,决定接下来应该构造IP还是ARP还是RARP。假设是IP,那么把缓冲区中第15个字节开始直到这块缓冲区最后的所以字节读入,按IP报文格式构造IP的对象,根据IP的Protocol字段,决定接下来构造TCP,UDP还是ICMP。假设是TCP,则将IP的数据内容读入,按TCP格式构造TCP的对象。
注:1)对于不满一个字节的字段,如一些标志位DF,URG等等需要用位运算将其取出
如:if(*pos & 0x04)
DF=true;
else
DF=false;
其中pos为unsigned char*,指向当前字节,而DF为该字节中右起第3位。
2)对于大于一个字节的字段,需要进行大数端到小数端的转换。因为网络中传输是按大数段(高位在低地址处),而本地机器中则相反,按小数端(地位在低地址处)。
如:totallen=(*pos)*256+(*(pos+1));
total为双字节,pos指针开始时指向低地址,乘256是完成大数端到小数端的转换。
过滤方法:
网络包的拦截
1. 捕获网络的数据包后,先查看是来自哪个程序的。在数据库中查找有没有相应的规则:
如果规则数据库中没有相应的规则,就弹出对话框让用户配置规则,然后添加到数据库中,然后按相应的规则,访问网络。
如果规则数据库中有相应的配置,就需要读取配置,对照访问规则权限来确定是阻止还是放行。
2. 将进出的报文记录在数据日志中待以后查询。
3. 将进出的报文情况添加到封包监视器中,待管理员查询。
测试
在程序调试阶段遇到的问题:
(1)如何编译动态链接库的问题
(2)如何分析通过winpcap捕获的数据包
以上问题最终通过查看相应的资料解决。
问题及难点所在:
防火墙的难点与重点就在如何获取网络中的发送或接受的报文,并分析报文。找出潜在的安全问题,防患于未然。通过对winpcap程序开发包的学****掌握了如何通过winpcap提过的动态链接库中的基础函数来捕捉进出网络的数据包,并参阅资料,了解了各种网络数据包数据的格式与其的特点,通过字节的对比,解析数据包,提取出各个字段的内容,并判断如何网络的情况。提醒用户设置网络访问的规则,来阻止或允许或条件允许。
运行结果与分析(测试)
启动程序:
访问网络:
配置规则:
访问结果:
放行时候:
拒绝时:
网络包监测窗口:
日志查询:
分析网络数据包的源代码如下:
TCP报文的数据结构与解析方法:
class TCPGram
{
public:
TCPGram();
TCPGram(const unsigned char *buf,int buflen);
virtual ~TCPGram();
int srcport;//源端口
int destport;//目的端口
unsigned int seqnum;//顺序号
unsigned int acknum;//确认号
int headlen;//头部长
bool URG;//为1表示使用紧急指针
bool ACK;//为1表示确认号合法
bool PSH;//表