防火墙实时监控系统设计.doc
《防火墙实时监控系统设计.doc》由会员分享,可在线阅读,更多相关《防火墙实时监控系统设计.doc(20页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流防火墙实时监控系统设计.精品文档.Ourfirewall2004防火墙系统开发小组:李 骞 计算机科学与技术 2000级2班李 琳 计算机科学与技术 2000级2班王重英 计算机科学与技术 2000级2班郭金巧 计算机科学与技术 2000级3班指导老师:吴振强 副教授张 莉 老师摘要:本文着重介绍“OurFirewall2004”防火墙系统:该OurFirewall2004是一个基于TCP/IP协议的网络应用系统,它提供了一个网络实时监控、数据包过滤、日志记录、安全级别设置等功能,为网络安全的控制提供了重要手段。关键字: 网络监控 包过滤 A
2、PI(应用程序编程接口) 动态链接库(DLL) 网络侦听 日志记录 安全级别Abstract:In this paper ,we present our firewall system which is“OurFirewall2004”: it is a network application system based on TCP/IP, it supplies many functions such as network monitor , Packet filtering, the daily recording, the grades of security and so on.It
3、gives out an important method for the control of network security. Key word :The network supervises and control The data pack filtering Dynamic Link LibraryAPI(Application Programming Interface)Network Listening Daily record Security Grade目录摘要1防火墙简介3 前 言 3 网络安全状况 3防火墙是什么3防火墙能干什么4防火墙采用哪些技术4第一部分 系统说明6
4、一、 系统简介 6二、系统基本功能 7第二部分系统开发环境与工具的选择 8第三部分 系统设计 9一、系统概要设计 9二、系统详细设计 91、系统流程图的设计 102、功能实现的设计 10第四部分 各部分的技术和关键代码 12一、 实时监控 12二、 过滤 22三、 安全日志 22四、 安全级别 22第五部分 使用说明 22一 、安装与卸载 22 二、具体使用说明 23第六部分:系统测试 24第七部分:系统维护 25第八部分:结束语 25参考资料 26附录 26防火墙简介:软件名称:OurFirewall2004防火墙软件分类:网络安全工具-2004防火墙出版日期: 2004-05-26版 本:
5、 V1.0版操作系统: Windows 2000/NT(sp6)/98/ME/XP语言界面: 简体中文原创单位: 陕西师范大学计算机科学学院2000级学校网址: 防火墙个人版是一款由2000级学生毕业设计制作的网络安全程序。它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的包过滤、网络实时监控、安全级别设置、日志审计等功能。目前的版本是v1.0版本。由于时间仓促,该防火墙在许多方面还有待于进一步改善。前 言网络安全状况随着计算机网络的发展,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,计算机网络的资源共享进一步加强,应用
6、层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,但是在提高信息利用率的同时,也给计算机网络系统的安全性和保密性带来了前所未有的挑战。事实上internet存在严重的安全漏洞,2000年初,黒客大规模袭击雅虎、亚马逊等电子商务网点,网站一度陷入瘫痪;国内新浪、163等网站也曾遭遇黒客的攻击。据估计,目前Internet的600多万台主机大约有半数以上经受着入侵的威胁,这是因为Internet网络属于公共服务的网络系统,以Unix操作系统为主,任何人都能非常容易地在网络上漫游并实施入侵。原本安全的企业网络连入Internet后,如不加防范措施,将极易遭受到入侵者的侵犯,造
7、成专有资源的流失甚至网络的瘫痪。由此网络安全问题很现实地摆在我们面前.即网络安全需要能针对各种不同的威胁和脆弱性提供全方位的解决方案,确保网络的保密性、完整性、可行性。迫于这种情况,各大网站、企业纷纷加筑安全的战壕,而这个战壕就是防火墙。那么到底什么是防火墙?防火墙能干什么?它采用了哪些技术?什么是防火墙?防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。在逻辑上,防火墙是隔离器、限制器、分析器,有效地监控了内部网和外部网的任何活动。在物理上,防火墙即可以是单纯的硬件设备路由器、主计算
8、机,也可以是软件产品,还可以是路由器、计算机和配有软件的网络的组合。防火墙逻辑位置示意图防火墙能干什么?l 防火墙是网络安全的屏障l 防火墙可以强化网络安全策略l 对网络存取和访问进行监控审计l 防止内部信息的外泄防火墙有哪些技术? 防火墙技术从原理上主要分为三种:信息包过滤技术(Packet filter)、代理技术(Proxy)、状态分析技术(Sstateful inspection)。l 包过滤技术分为静态包过滤和动态包过滤技术。 静态包过滤技术是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。静态包过滤技术示意图 动态包过滤技术是采用动态设置包过滤规则的方法,
9、对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 动态包过滤技术示意图l 代理技术分传统代理技术和自适应代理技术 传统代理技术的防火墙是将代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好象是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。 传统代理技术示意图自适应代理技术结合了代理型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础上将代理型防火墙的性能提高十倍以上。 传统代理技术示意图l 状态检测技术,它克服了包过滤技术和应用代理技术的局限性,状态检测防火墙根据协议、端口及源、目的地址的具体情况
10、决定数据包是否可以通过。对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。这种防火墙的优点是一旦某个访问违反安全规定就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用和用户数据报之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。 状态检测技术示意图 第一部分:系统说明一、系统简介我们所开发的“OurFireWall2004”防火墙系统是一个基于TCP/IP协议的网络应用系统,它提供了网络实时监控、数据包过滤、日志记录、安全级别设置等功能,在系统底层、网络层和应用
11、层对系统进行双重保护,有效地保护内部网络,使其免受来自外部的攻击。为个人PC 提供强有力安全屏、为网络安全的控制提供了重要手段。“OurFirewall2004”采用了包过滤技术,有效地实现了基于IP地址的过滤、远程以及本地端口的过滤. “OurFirewall2004”能够强制日志记录(LOG)。由于该防火墙上具有日志服务功能,用户或安全管理员可以监视所有从外部网或互联网的访问,日志记录是全面掌握网络安全状况、衡量防火墙性能和作用的重要手段。 “OurFirewall2004”提供不同级别的安全设置。由于不同的对象对安全级别的要求有所不同,本系统为用户提供了四个安全等级。“OurFirewa
12、ll2004”能够对当前网络与本机的通讯状况进行侦听、监控,由此可分析网络性能、排除网络故障。“OurFirewall2004帮助”能够系统引导用户安装、使用、卸载防火墙,为用户提供便利。二、系统基本功能1、过滤远程IP、远程端口(remote port)、本地端口(local port) 包过滤是在网络层对数据包的目标地址、以及包所使用的端口确定是否允许该类数据包通过。如果防火墙设定禁止访问某一IP或端口的话,从这个IP地址或端口而来的所有信息都会被防火墙阻断。换句话讲,利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。2、添加需要拦截的IP、远程端口、
13、本地端口由于一些不良网站、不受欢迎的网络地址(IP)或木马端口(PORT)的存在,用户可根据需要灵活添加过滤规则,来屏蔽网络地址和端口。3、删除IP、远程端口、本地端口 用户可根据个人需要来取消一些过滤规则。4、记录并显示访问时间、对方IP、对方端口、本地端口、访问方法。用户可以通过日志来查看和监视所有从外部网或互联网的访问,分析安全隐患,查证攻击来源。5、清除日志用户或网络管理人员将一些繁冗、无分析价值的日志信息删除,以便观察近期日志信息。6、设置安全级别本系统针对不同的对象对网络安全级别的要求有所不同,为用户提供了四个安全等级,用户可根据需要通过滑杆(Slider控件)灵活设置四个安全级别
14、(由高到低依次为高、中、中低、低。)以达到不同程度地保护用户安全的目的。高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。中:安全浏览,具有安全功能,下载潜在的不安全内容之前给予提示,不下载未签名的ActiveX控件,实用于大多数internet站点。 中低:除了没有提示外,其它和中级安全级基本相同,大多数内容运行时都没有提示,不下载未签名的ActiveX控件,适用于本地网络
15、(INTERNET)上的站点。 低:提供最小的安全措施和警告提示,下载大多数内容且无提示运行,下载大多数内容且无提示运行,可以运行所有所有的活动内容,通用于绝对信任的站点。7、智能警告 当安全级别设置为“高”时,系统会出现提醒:l 阻隔IPl 阻隔远程端口l 阻隔本地端口l 禁止访问当前站点所有内容l 允许访问当前站点 8、系统默认安全级别设置 由于一般用户对计算机网络安全没有概念,也没有较高的要求,默认安全级别是最好的选择。9、局域网内的连接 用户可根据需要,选择是否接受局域网内的连接。10、实时监控 能够监控本地tcp通讯端口状态,显示本地主机开放的端口号,远程主机的端口号,远程主机的IP
16、地址等信息。具体功能如下:l 监控远程IP、远程端口(remote Port)、本地端口(local port)l 监控网络状态第二部分 系统开发环境与工具的选择设计一个系统时,首先需要确定它的开发环境和开发工具,现在网上系统的开发可以采用各种各样的环境和工具,他们相互之间进行比较都有各自的长处,我们对系统开发的环境、工具及底层数据库都进行了仔细的比较,最后确定用以下的开发环境和工具完成本系统的开发:一、开发环境:软件环境:中文windows98以上环境 硬件环境:PC兼容机Intel x86至少32MB RAM,建议64M至少4MB磁盘空间,建议16M二编程工具的选择 在进行系统开发工具的选
17、择时,根据自身对技术的掌握程度以及接受能力,我选择了微软公司开发的Visual Basic作为主要的开发工具,用它开发系统有如下诸多的好处和特点:1界面设计简单2面向对象编程,比较容易实现3很容易调用Windows自身的函数4后台存取规则容易5所见即所得 在开发的过程中,我们还用到的其他的一些软件,如Photoshop处理一些图片,加载到我们的界面中美化视觉。第三部分 系统设计一系统概要设计通过可行分析,我们确定了系统的可实现性,而通过需求分析后,我们更进一步的明确系统必须实现的功能,接下来要完成的工作就是根据系统的需求分析把要实现的功能结构化,具体化,也就是设计系统的结构,进行模块的划分,确
18、定各个模块的功能,接口。由于时间的关系我们不能很好地完成Firewall的所有功能,所以该系统在设计之初便定义七个模块,以后再逐步扩展和根据网络的需要逐渐更新,而且几个模块各个部分的实现功能都比较简单: 1、基本功能(见 页系统说明部分的基本功能)2、增强功能21代理服务: 为其他主机提供Http,ftp,telnet,代理服务22用户可以自己选择本地代理服务器的端口号及服务类型:HTTP,FTP,TELNET等23实时监控使用此代理服务的客户机的状态: XX客户机的XX端口正在跟远程XX主机的XX端口建立连接XX客户机正在跟远程XX主机XX端口断开连接24用户可以手动停止和开启各种代理服务功
19、能。二系统详细设计我们的设想是需要一套全面的、重要的适合我们自己的的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网(VPN)、身份认证、虚拟网桥、网络地址转换(Network Address Translation)、提供完善的安全性设置,通过高性能的网络核心进行访问控制的功能我们决定进一步来实现。我们采用了VB管理界面,通过直观、易用的界面管理强大、复杂的系统功能。系统采用中国化的设计,界面全中文化,操作简单直接,真的是量身定做。在概要设计中,我们已经粗略分析了本系
20、统的设计,在此我们将详细的分析系统的实现方案,详细设计阶段的任务就是把解法具体化,设计出程序的详细规格说明。开发本系统时可以跟据它有条理的编写程序。在得到了解决方案之后,我们即开始了流程图和功能实现的设计。 1、系统流程图的设计2、功能实现的设计确定系统的流程图后,就要开始着手底层功能实现的设计,只有完成功能的架设后才能在以后的编程中对信息的操作有所依据。在进行本系统功能的架设时我们选择的是VB。因为它使用方便、界面简单且在各方面能满足系统的要求。在进行功能架构时,一般要遵循以下的规则:(1)尽量减少手动操作次数按钮个数以及功能的分配的选择当然要处于最合理状态,整体功能的实现也要尽量使用户很容
21、易找到所需资源,并且着手操作。(2)结构设计与操作设计相结合在设计系统时,有时为了编程实现的简洁和思路的清晰,往往故意增加一些代码的冗余。这虽然有悖于传统的编程理论,但是考虑到显示与阻隔的方便,对功能的实现有很大的好处,往往采用这种方法。(3)使各种信息详尽化管理员要根据日志列表分析有可能是攻击本级计算机的地址,所以我们要在获取信息是使其尽可能的详尽化,当然我们也可以对访问超过一定次数的地址进行记录然后自动阻隔,这样既方便用户,也方便管理员查看。但由于时间的紧迫性作为下一步的目标来实现,在这里仅仅将日至一个不漏的显示出来。(4)、界面的风格化主界面 安全级别界面第四部分 各部分的技术和关键代码
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 实时 监控 系统 设计
限制150内