计算机网络课程方案设计书说明书_桂林电子科技大学.docVIP

《计算机网络》 课程设计说明书 题 目： 包过滤防火墙 学 院： 计算机科学与工程学院 专 业： 信息安全 姓 名： 杨飞云 学 号： 1100360127 指导教师： 杨兵 2014年 03 月 21日  目录 摘要 4 关键词 5 一．背景概述 5 二．设计内容 5 三．设计要求 6 四．需求分析 6 五．总体设计 6 程序流程图 7 设计思路: 7 设计环境: 7 基本功能: 7 详细设计: 8 六．总结与体会 20 七．参考文献 21 摘要 在科学技术飞速发展的时代，网络互联技术显示出了它蓬勃发展的生命力，它逐渐进入了人们的家居生活，使得当今社会的智能化和网络化越来越来明显。人们对居住环境的要求也随着计算机的普及和信息产业的发展而大大提高，越来越多的人已经离不开网络了，无论是工作、学习还是休闲娱乐，这些都已经和网络息息相关：人们可以足不出户了解世界上每个角落在发生什么，买到自己心仪的物品，可以在通过网络进行视频会议，远程控制完成一些工作任务等，网络给人们带来了巨大的便利。由于Interne的信息和服务内容不断的扩大，使得用户对网络的需求急剧增加。同时，的网络化也会给带来新的市场机遇和商业价值。的网络系统建设也随着计算机技术、通信技术、控制技术及多媒体技术进步和互相渗透而发展起来。 本致力于防火墙 　防火墙是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个网络间，实施网络之间访问控制的一组组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，它对从网络发往计算机的所有数据都进行判断处理，并决定能否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算机的保护功能。包过滤路由器可以决定对它所收到的每个数据包的取舍。。路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。过滤规则如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个与规则不相匹配的，且规则拒绝此数据包，则该数据包将被舍弃。包过滤方法具有以下优点：（1）执行包过滤所用的时间很少或几乎不需要什么时间。（2）对路由器的负载较小（3）由于包过滤路由器对用户和应用程序是透明的，因此不需要在每台主机上安装特别的软件。包过滤防火墙 包过滤 IP地址 在系统下,包过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。 　包过滤防火墙将对每一个接收到的包 做出允许或拒绝的决定。具体地讲，它针对每一个数据包的包头，按照包过滤规则进行判定，与规则相匹配的包依照路由信息继续转发，否则就丢弃。包过滤是在IP层 实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。　包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。要求实现一个简单的包过滤防火墙能够根据 IP 地址范围阻塞或允许客户机对 FTP 服务的访问绿色软件避免写系统和注册表防火墙在网络中占有重要的地位。用户安全意识的提高和网络攻击手段的发展使得传统的功能简单的个人防火墙已经无法满足现在的需求。首先,用户对个人防火墙的功能需求增强, 个人防火墙需要提供不同层次的安全保护。其次,用户对个人防火墙效率的需求增强。在防火墙功能扩展的情况下,效率问题显得非常突出。因此,在实际应用中个人防火墙在实现安全的基础上,不仅要保持高效和低耗,还要实现不同层次的保护功能。在对防火墙的性能和效率进行分析和改进的基础上,设计并实现了一个基于Windows平台的个人防火墙。个人防火墙在实现过程中应用了效率和性能改进的策略,取得了非常好的效果。 包过滤防火墙总的实现有三部分组成：表示层、应用层逻辑层和存储层。 　　（1）在表示层上，主要是防火墙与用户交互界面的实现； 　　（2）在应用逻辑高层，主要是利用系统提供的IP过滤驱动注册用户处理数据包的函数，包括实现分析数据包、过滤数据包等功能； 　　（3）在应用逻辑低层主要是利用系统提供的IP过滤驱动ipfltdrv.sys实现数据包的拦截；在存储层上，主要实现用户定义的过滤规则的存储