VC0017基于数据包捕获与分析的个人防火墙答辩演示.pptVIP

* 课题：个人防火墙技术与实现 说明: 1.需本答辩稿配套的程序及论文,可以访问 下载 2.有什么不明白的地方,可以联系作者本人QQ:513681372 开发背景 随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。? 如果一台计算机上没有安装防火墙，它内部的信息就很容易暴露给Internet上的其它计算机，一旦受到攻击，计算机便没有能力来抵抗，保密信息有可能会被盗取，甚至连整台计算机上的数据都有可能被破坏掉，很容易造成无法晚会的损失。 个人防火墙的研究意义 个人防火墙，作为一种网络安全工具，广泛应用于个人PC机上，受到广大网民的亲睐。个人防火墙能捍卫PC和机密资料，使其避免受网络漫游可能造成的安全威胁。在网络上执行任何工作时，个人防火墙都会阻止网络服务器在背景窃取您的电子邮件地址或其它个人信息。 个人防火墙具有许多的优点，增加了个人计算机的保护级别，为用户隐蔽暴露在网络上的信息，而且不需要额外的硬件资源，个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。 主要开发技术 (一) 要进行防火墙的开发，必须首先清楚主机与主机之间是如何进行数据传输的。而主机之间通信的规则都在网络协议里定义。在整个网络通信中，TCP/IP协议是使用最为广泛的通信协议。它是网络互连的标准协议，连入Internet的计算机进行的信息交换和传输都需要采用该协议。网络封包截获技术可分为两类：应用层和核心层。Winsock2 SPI封包截获技术工作在应用层，NDIS中间驱动程序则是核心层封包截获技术。作为防火墙功能的扩展，引入了与入侵检测技术联动。 主要开发技术 (二) 在WINDOWS 2000 DDK中，微软包含了称为Filter-Hook Driver的新型网络驱动。可以使用它来过滤所有进出接口的数据。 实际上，Filter-Hook Driver并不是网络驱动，它是一种内核模式驱动(Kernel Mode Driver)。 这种方法可以过滤所有IP层（或以上）的通讯，但不能过滤更低层的头部数据，比如以太帧数据。 这是一种简单的方法。安装防火墙和执行过滤功能非常简单。但包过滤API(Packet Filtering API)更加容易使用，尽管它缺少弹性，例如不能处理包的内容，不能用包过滤API修改内容。 比较以上两中方案，考虑到时间和能力的限制我们选择了第二种。 数据包过滤是怎样工作的 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的根据：? ㈠ 将包的目的地址作为判断依据； ㈡ 将包的源地址作为判断依据；? ㈢ 将包的传送协议作为判断依据。 大多数包过滤系统判断是否传送包时都不关心包的具体内容。作为防火墙包过滤系统只能让我们进行类似以下情况的操作： ㈠ 不允许任何用户从外部网用Telnet登录； ㈡ 允许任何用户使用SMTP往内部网发电子邮件； ㈢ 只允许某台机器通过NNTP往内部网发新闻。 包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在战略要津上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设定合适的包过滤，我们的站点就可以获得很好的网络安全保护。 包过滤不需要用户软件的支撑，也不要求对客户机做特别的设置，也没有必要对用户做任何培训。当包过滤路由器允许包通过时，它看起来与普通的路由器没有任何区别。此时，用户甚至感觉不到包过滤功能的存在，只有在有些包在禁入和禁出时，用户才认识到它与普通路由器的不同。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。 功能分析 ㈠ 封包过滤 防火墙的核心技术主要是包过滤。入侵检测、控管规则过滤、实时监控及电子邮件过滤这些功能都是基于封包过滤技术的，所以应保留对应用程序封包过滤的功能。 ⑴ 提供封包监视界面。 ⑵ 碰到被拦阻的封包，根据系统参数配置进行报警。 ⑶ 提供清空监视列表、停止/开始监控及停止/开始滚动功能。 ㈡ 日志存储和查询 ⑴ 把封包信息记录到日志文件中。 ⑵ 提供日志查询界面。 ⑶ 对封包信息进行查询。 ㈢ 报警 ⑴ 能判断出含有危险或不利内容的封包 ⑵ 具有声音报警机制，给用户一个提示。 功能分析 ㈣ 规则设置 ⑴ 手工添加、修改及删除控管规则 ⑵ 自学习添加控管规则 ⑶ 控管规则字段属性设置 ㈤ 端口扫描 一个端口就是一个潜在的通信通道，也可能成为一个入侵的通道，例如FTP文件传输协议使用端口21。对目标计算机进行端口扫描，能得到许多有用的信息