个人防火墙的设计与实现_开题报告

（一）防火墙的发展概述

个人防火墙是伴随着Internet在PC上普及而发展起来的。个人防火墙发展比传统边界防火墙要缓慢。边界防火墙技术的发展已经历了三个阶段：包括滤型防火墙、代理防火墙、基于状态检测技术的防火墙，加上入侵检测、日志审计、虚拟专用网等等，整体上功能非常强大，而个人防火墙发展到现在，还是主要针对应用程序进行过滤，安全功能十分有限。也有部分个人防火墙，将应用代理的部分功能加入进来，针对应用进行特殊的过滤设计。例如AtGuard个人防火墙，除了提供一般的防火墙功能外，针对WEB应用作了强大的应用扩展，如网站过滤功能，个人隐私保护功能等，通过它用户可以自动过滤网页中的广告，也可以自己定义新的过滤条件，另外还能够查看当前的所有网络连接，以及数据流量等等相当多的功能，非常有特色。

所有这些基于Windows操作系统的个人防火墙，其区别在于Windows下网络数据包的拦截技术。按所采用的拦截技术，个人防火墙分：基于SPI（Service Provider Interface）的个人防火墙、基于TDI（Transport Drivers Interface）的个人防火墙、基于NDIS钩子驱动的个人防火墙、基于NDIS中间层驱动程序的个人防火墙。大部分个人防火墙采用两两结合技术，例如，著名的费尔个人防火墙就是采用基于SPI和NDIS钩子驱动相结合的技术。

基于SPI的个人防火墙：使用这种技术的好处是可以获得调用Winsock的进程详细信息，这就可以用来实现QoS（Quality of Service）、数据流加密等目的。但是，这种技术下进行的数据包拦截最致命的缺点就是只能在Winsock层次上进行，如果应用程序直接通过TDI调用TCP/IP来发送数据包，这种方法就无能为力了。

基于TDI的个人防火墙：当应用程序要发送或接收网络数据包的时候，都是通过与协议驱动所提供的接口来进行的。协议驱动提供了一套系统预定义的标准接口来和应用程序进行交互。只要开发一个过滤驱动来截获这些交互的接口，就可以实现数据包的拦截。TDI层的网络数据拦截还可以得到操作网络数据包的进程详细信息，但对ICMP这样的底层数据包，这种防火墙就无能为力了。

基于NDIS钩子驱动的个人防火墙：这是目前大多数个人防火墙所使用的方法实现Hook可以通过修改NDIS.SYS的export Table或者向系统注册假协议。使用这种技术，接口简单、编程方便。

基于NDIS中间层驱动程序的个人防火墙：中间层驱动程序介于协议层驱动和小端口驱动之间，它能够截获所有的网络数据包，中间层驱动的概念是在Window NTS P4之后才有的，因此对于Windows9x来说无法直接利用中间层驱动的功能。目前个人防火墙的产品还很少用到这种技术，主要的原因在于中间层驱动的开发、调试、安装过于复杂。但是不管怎样，这种防火墙应该是今后个人防火墙技术的趋势所在。

（二）国内外研究现状

1、国外研究现状

国外对防火墙研究和应用已经开始多年，美国、英国、加拿大、澳大利亚、日本等国家都十分重视防火墙的开发和应用系统的建设。以美国为例，政府成立了联邦指导委员会，对其提供政策、法规、标准等方面的指导，网络安全厂商则凭借其领先的技术和知名度在各个应用领域里长驱直入。

（1）20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙，随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备；

（2）1989年，美国的贝尔实验室的Dave Presotto和Howard Triekey最早推出了第二代防火墙，即电路层防火墙；

（3）20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；

（4）1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamie Paeketfilter）技术的，后来演变为目前所说的状态检测（Statefulinspeetion）技术，1994年，市面上出现了第四代防火墙，即以色列的Check Point公司推出的基于这种技术的商业化产品；

（5）1995年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品GauniletFirewallfo：NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

传统的防火墙通常是基于访问控制列表（ACL）进行包过滤的，位于在内部专用网的入口处，所以也俗称“边界防火墙”。随着防火墙技术的发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术等。

目前国外的一些著名网络设备开发商在分布式防火墙技术方面更加先进，所提供的产品性能也比较高，采用“软件+硬件”形式。中心防火墙为集成了分布式防火墙技术的硬件产品，而防火墙服务器则采用软件形式，以适应更加灵活和高智能的要求，如Juniper网络公司的Netsereen防火墙，3COM、CISCO、美国网络安全系统公司的嵌入式防火墙产品。不过也有许多是以纯软件形式提供的，如芬兰的F-Secure公司的DistributedFirewall，中洲的网警（NetCop）分布式防火墙。

2、国内研究现状

随着国内网络安全防护意识的兴起，我国政策规定，政府、军工、重点投资项目等必须采用中国企业的网络安全产品，给了国内企业网络安全产品特有的市场空间。

为了给用户提供更舒适的操作界面，国内的天网、联想网御等国内许多公司在其防火墙产品都中提供了基于Web的远程管理方法。虽然基于Web远程管理系统具有使用方便、便于管理的特点，但该方法在操作过程中是通过外网来进行，同时也会带来安全问题，该问题也成为Web远程管理的软肋。

国内防火墙产品以企业级硬件防火墙居多，软件防火墙较为少见。由前几年 进入该市场的国内防火墙产品主要还是中低端产品，现在一些国内有实力的厂商 己开始开发出高端的产品，如千兆防火墙。天融信、东方龙马、东软股份、清华 紫光、联想等厂商，在硬件防火墙方面已取得可喜的成果。

（1）天融信公司“网络卫士”NGFW3000-4T3防火墙

其在安全管理上采用一次性口令和SSL协议等，具有较好的访问控制功能；功能上，它在提供访问控制，防御功能、用户认证、安全管理等基本功能的同时，还提供一些特殊功能，如双机热备份、带宽管理、VPN、与IDS联动等：性能上，它的表现比较突出，其中吞吐量结果随着以太帧长度的增加呈稳定增长，在256Byte时吞吐量己经达到线速的99.82%。

（2）东方龙马9001A防火墙

从低层的网络结构层次上截取数据链路层与网络层之间最原始的数据包，并且检测所有应用层的数据包，最直接地保证了数据传输的安全性。它采用优化的算法，并巧妙地结合连接状态检查与动态生成过滤规则，极大地提高了系统的传输效率，具有方便用户进行配置和管理的图形用户界面，不仅支持TCP的应用，并且支持各种应用，如UDP，RPC的应用等，应用范围不受限制。

（3）清华紫光比威UFl2000千兆防火墙系统

采用双NP架构，两片网络处理器协同工作，使性能在64字节时吞吐率可达80%左右。UFl2000系统提供三级处理结构，其中MicroEngine和StrongARM位于NP上，Pentium作为整个系统的主控CPU。UFl2000通过结构优化来提升吞吐率，包括决策和执行分开、减少中间判断环节．将数据通道分为：高速通道和低速通道、高速通道由NP负责，低速通道由Pentium负责，将防火墙的数据平面的功能放在高速通道上完成、将防火墙的控制平面和管理平面的功能放在低速通道上完成。

（4）安软公司Everlink分布式防火墙2.1版

是一款由国内自主开发的、拥有独立知识产权的分布式防火墙系统。具有独特的包过滤、木马过滤和脚本过滤的三层过滤检查，灵活的用户定制的安全策略；统一的安全策略管理服务器；实时网络状态监控；完善的日志和报警功能；以Windows操作系统为运行平台。安软公司称之不仅适用于大中型组织机构，而且还适用于与互联网直接相连的个人用户、处于移动办公环境中的商业人士和小企业用户。

二、^范文提纲

一、开发背景和系统概述

（一）开发背景

（二）系统概述

（三）解决方案

二、开发工具、运行环境和编码规则

（一）选择开发工具

（二）运行环境

（三）编码规则

三、Xfirewall系统设计

（一） Xfirewall的核心功能分析

（二）程序工作流程图

（三）Xfirewall的主体功能

（四）模块划分

（五）控管规则文件结构设计

（六）界面设计

四、具体代码分析

（一）Xfilter.dll的封包截获

（二）Xfilter.dll的访问控管

（三）Xfilter.dll的协议解析

（四）Xfirewall.exe与Xfilter.dll的接口

（五）Xfirewall.exe的文件操作

（六）Xfirewall.exe的属性页界面

五、测试

六、总结

三、参考文献

[1]高永强，郭世泽等编著.网络安全技术与应用大典[M].人民邮电出版社，2013

[2]许榕生等编著.黑客攻击技术揭秘[M].机械工业出版社，2012

[3]张玉凤，翟光群.个人防火墙技术研究及应用[J].河南科学.2016（06）

[4]孔祥华.个人防火墙技术的研究与探讨[J].中国科技信息.2015（11）

[5]伍裕标.身兼数职的个人防火墙[J].电脑应用文萃.2014（03）

[6]走近个人防火墙[J].电脑知识与技术.2010（07）

[7]解决方案：搭起自己的防火墙——冠群金辰个人防火墙解决方案[J].电脑知识与技术.2010（S4）

[8]冠群推出个人防火墙[J].每周电脑报.2010（44）

[9]刘福超，倪佑生，付素明.个人防火墙穿透技术研究[J].信息安全与通信保密.2009（09）

[10]胡勇，吴少华，周安民.个人防火墙突破技术研究与防范措施[J].成都信息工程学院学报.2008（03）

[11]罗新.防火墙日志分析系统的设计与实现[J].计算机时代.2012（02）

[12]赵跃华，周万胜.防火墙过滤规则动态生成方案设计[J].计算机工程.2015（02）

[13]曾凡锋，夏雪峰，王景中.基于网络行为的防火墙设计与实现[J].网络安全技术与应用.2012（02）

[14]刘露.融合防火墙与入侵检测技术的网络安全防护系统[J].现代计算机（专业版）.2012（02）