防火墙与入侵检测课程设计报告.docVIP

防火墙与入侵检测课程设计报告 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 研究课题：防火墙与入侵检测 指导教师：董理君 学生姓名：王敬 学生班级：193062 学生学号：20061002781 防火墙与入侵检测课程设计报告 软硬件运行环境 硬件推荐配置 内存：128M 及以上配置 其他：无特殊要求 软件运行环境 操作系统：windows 2000 及以上版本 其他：无特殊要求 工程研究背景与意义 背景意义： 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取平安性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个平安网关〔Security Gateway〕，从而保护内部网免受非法用户的侵入，防火墙主要由效劳访问规那么、验证工具、包过滤和应用网关4个局部组成， 　防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙对流经它的网络通信进展扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能制止特定端口的流出通信，封锁特洛伊木马。最后，它可以制止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 关键技术及解决方案 概要设计： 网络包的分析 各种类型报文对象的构造： 由于pcap每次抓到一个数据包，会提交其信息，方式为以unsigned char* 指向的一段缓冲区，现将缓冲区前14个字节读入，按以太帧格式构造以太帧头部的对象。然后根据以太帧头部中的Type字段，决定接下来应该构造IP还是ARP还是RARP。假设是IP，那么把缓冲区中第15个字节开场直到这块缓冲区最后的所以字节读入，按IP报文格式构造IP的对象，根据IP的Protocol字段，决定接下来构造TCP，UDP还是ICMP。假设是TCP，那么将IP的数据内容读入，按TCP格式构造TCP的对象。 注：1〕对于不满一个字节的字段，如一些标志位DF，URG等等需要用位运算将其取出 如：if(*pos 0x04) DF=true; else DF=false; 其中pos为unsigned char*，指向当前字节，而DF为该字节中右起第3位。 2〕对于大于一个字节的字段，需要进展大数端到小数端的转换。因为网络中传输是按大数段〔高位在低地址处〕，而本地机器中那么相反，按小数端〔地位在低地址处〕。 如：totallen=(*pos)*256+(*(pos+1)); total为双字节，pos指针开场时指向低地址，乘256是完成大数端到小数端的转换。 过滤方法： 网络包的拦截 1. 捕获网络的数据包后，先查看是来自哪个程序的。在数据库中查找有没有相应的规那么： 如果规那么数据库中没有相应的规那么，就弹出对话框让用户配置规那么，然后添加到数据库中，然后按相应的规那么，访问网络。 如果规那么数据库中有相应的配置，就需要读取配置，对照访问规那么权限来确定是阻止还是放行。 2. 将进出的报文记录在数据日志中待以后查询。 3. 将进出的报文情况添加到封包监视器中，待管理员查询。 测试 在程序调试阶段遇到的问题： 〔1〕如何编译动态链接库的问题 〔2〕如何分析通过winpcap捕获的数据包 以上问题最终通过查看相应的资料解决。 问题及难点所在： 防火墙的难点与重点就在如何获取网络中的发送或承受的报文，并分析报文。找出潜在的平安问题，防患于未然。通过对winpcap程序开发包的学习，掌握了如何通过winpcap提过的动态链接库中的根底函数来捕捉进出网络的数据包，并参阅资料，了解了各种网络数据包数据的格式与其的特点，通过字节的比照，解析数据包，提取出各个字段的内容，并判断如何网络的情况。提醒用户设置网络访问的规那么，来阻止或允许或条件允许。 运行结果与分析〔测试〕 启动程序： 访问网络： 配置规那么： 访问结果： 放行时候： 拒绝时： 网络包监测窗口： 日志查询： 分析网络数据包的源代码如下： TCP报文的数据构造与解析方法： class TCPGram { public: TCPGram(); TCPGram(const unsigned char *buf,int buflen); virtual ~TCPGram(); int srcport;//源端口 int dest