VC0023个人防火墙技术与实现答辩演示.pptVIP

课题：个人防火墙技术与实现 防火墙的定义 防火墙”的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”[1]。然而，与防火墙一起起作用的还有重要的门，允许人们进入或离开房屋。防火墙保护了人们的安全，而这个门在增强安全性的同时允许了必要的访问。 个人防火墙的研究意义 个人防火墙，作为一种网络安全工具，广泛应用于个人PC机上，受到广大网民的亲睐。个人防火墙能捍卫PC和机密资料，使其避免受网络漫游可能造成的安全威胁。在网络上执行任何工作时，个人防火墙都会阻止网络服务器在背景窃取您的电子邮件地址或其它个人信息。 个人防火墙具有许多的优点，增加了个人计算机的保护级别，为用户隐蔽暴露在网络上的信息，而且不需要额外的硬件资源，个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。 主要开发技术 要进行防火墙的开发，必须首先清楚主机与主机之间是如何进行数据传输的。而主机之间通信的规则都在网络协议里定义。在整个网络通信中，TCP/IP协议是使用最为广泛的通信协议。它是网络互连的标准协议，连入Internet的计算机进行的信息交换和传输都需要采用该协议。网络封包截获技术可分为两类：应用层和核心层。Winsock2 SPI封包截获技术工作在应用层，NDIS中间驱动程序则是核心层封包截获技术。作为防火墙功能的扩展，引入了与入侵检测技术联动。 功能需求分析 （1）状态监测 ① 提供基于流量的状态指示界面； ② 提供针对应用程序封包和IP封包的封包监视界面； （2）日志记录与查询 ① 提供日志查询界面； ② 能对近期日志及时记录； ③ 提供按时间段查询日志； （3）规则管控 ① 提供规则管理的界面； ② 能对应用程序规则进行添加、编辑和删除； ③ 能对IP规则进行添加、编辑和删除； （4）入侵检测 ① 提供入侵检测界面； ② 实现端口的添加和删除； ③ 自动显示具有入侵性质的目标主机； （5）系统设置 总体结构设计 在明确了系统功能之后，需要对个人防火墙（PFWall）的总体结构进行设计，便于后面的模块结构设计。PFWall大致可分为三个部分：个人防火墙主模块、DLL模块和中间层驱动程序模块。各模块除了完成自己的功能外，还必须很好地实现个人防火墙主模块与DLL模块、中间层驱动程序模块之间的通信。 模块结构设计-应用程序模块设计 模块结构设计-应用程序界面设计 模块结构设计-DLL模块设计 系统界面-状态监测界面 系统界面-监控室界面 更多运行结果，请参见源程序 开发总结 本文在分析和研究防火墙的基本知识和基本技术的基础上，采用Winsock2 SPI 和NDIS中间驱动相结合的双重包过滤技术，实现了一个Windows个人防火墙，即PFWall。它能稳定地运行在Windows XP上，较好地监视一个网络的活动状态，保护PC机的安全。 当然，PFWall个人防火墙也存在一定的缺点和不足，需要进一步改进和完善。首先是可移值性差，在Windows 2000系统或以下不能正常运行。入侵检测功能需要增加响应事件和数据存储的功能。产生的控制规则缺乏自学习功能，仍需人为地手工添加。 NDIS中间驱动技术工作在核心层，功能十分强大。我们可以在它的基础上做一些改进和扩展，包括增加加密与解密的功能，以及进一步地对数据包中的数据进行分析，这样实现的安全保护就更强大更完善了。 在本次毕业设计中，我从指导老师李涛老师身上学到了很多东西。他不但善于与学生沟通理解和支持学生的开发设计项目，而且认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅。虽然他不能亲自指导我，但是他在网上给我很大的帮助，使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助，感谢他耐心的辅导，帮助解决了不少的难点，使得系统能及时开发完成。感谢我所有的同学！我们在学习上相互帮助；生活上相互关心；我们一起学习，一起娱乐，一同成长。谨以此文献给所有支持和帮助我的人！ 最后再次感谢指导老师和我系所有领导和老师对我的关心与教导，并就此机会向答辩委员会所有老师们道一声： **********************完*********************