当前位置: > 硕士毕业论文 > 30000字硕士毕业论文内核嵌入式防火墙条件下检测的探讨与实现

30000字硕士毕业论文内核嵌入式防火墙条件下检测的探讨与实现

论文类型:硕士毕业论文
论文字数:30000字
论点:防火墙,技术,检测
论文概述:

1.1概述1.1.1研究背景和意义随着计算机网络规模的迅速扩大,越来越多的个人计算机接入了Internet如何有效保护这类计算机不被攻击己成为广泛关注的问题。目前个人计算机的主流操作系统是W

论文正文:

  第一章绪论         1.1概述1.1.1研究背景和意义随着计算机网络规模的迅速扩大,越来越多的个人计算机接入了Internet如何有效保护这类计算机不被攻击己成为广泛关注的问题。目前个人计算机的主流操作系统是Windows,嵌入在操作系统内核模式的防火墙是面向单机操作系统的小型安全防护软件,不需要额外的硬件资源就能增加对系统的保护,在抵挡外来攻击的同时,还可以抵挡内部的攻击,便捷经济,具有较高的性价比。另外,作为网络通信基础的TCP/IP协议,Windows操作系统本身就存在着难以完全根除的安全缺陷,在最初设计时就缺乏对安全的考虑,导致其存在一系列安全缺陷,诸如缺乏加密认证机制、TCP序列号易被猜测、定时器以及连接建立过程中存在大量问题等,不少防火墙无法消除TCP/IP协议的致命弱点。针对IP数据包TCP和UDP协议在连接过程中的安全问题,设置的规则和状态检测,能够有效增强TCP/IP协议网络通信连接的安全性。因此对嵌入内核式状态检测防火墙展开研究具有非常重要的意义。         本文设计开发了一种基于Windows2000/XP嵌入内核式状态检测的个人防火墙系统,该系统利用Windows2000/XP操作系统底层工P过滤钩子驱动程序(ipfltdrv.sys)注册的回调函数中的自定义驱动程序来对网络数据包进行状态检测处理,在处理数据包过程中不但有“包过滤”的思想,更体现了“状态检测”技术,并且该防火墙系统还具有良好的窗口界面及与用户交互性较好的特点。1.1.2国内外防火墙技术现状及发展趋势防火墙是一种综合性技术,用于加强网络间的访问控制,防止外部用户非法访问内部信息。防火墙技术大体上历程了五个发展阶段[[1l。如图1-1所示。自适应代理门自自︹乙||||||幸代理动态包过滤i}}o”1电路199口{图1-1防火墙技术发展的五个阶段第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙一应用层防火墙(代理防火墙)的初步结构。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监测(Statefulinspection)技术。1994年,以色列Checkpoint公司开发出了首次采用这种技术的商业化的产品。         1998年,NA工公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,称之为第五代防火墙。从防火墙技术现状来看,虽然防火墙技术是目前网络安全的主要防护技术,但在目前使用的防火墙技术中还存在不少有待解决的问题。比如,在嵌入操作系统内核式状态检测防火墙的研究方面,需要深入了解操作系统内核的运作及相关技术,如何简洁方便安装和使用,如何增强防御攻击等问题。随着新的网络攻击的出现,未来的状态检测防火墙技术有如下的发展趋势。(1)深层检测技术目前,应用代理和状态检测防火墙都不能阻止大规模的网络攻击,针对应用层攻击的特殊性和复杂性,NetScreen公司在整合状态检测技术和入侵防护技术基础上,开发了可在边界实现应用层攻击防护的新技术,称为深层检测技术。深层检测防火墙对网络数据进行解析,分离应用层数据和包过滤数据,分别放入TCP/IP栈和状态检测引擎,再进行检测。如图1.2所示。图1.2深层检测技术工作原理(2)流过滤技术流过滤是东软集团提出并开发融状态检测包过滤、深度检测和应用代理优点为一体的一种新型防火墙技术体系架构。流过滤防火墙技术原理基本与深层检测技术相似,也是分别进行状态包过滤检测和应用层数据检测,两种检测是并行进行的。与深层检测技术不同的是,流过滤技术不分离数据,而是对同一个数据串行的分别进行状态包过滤检测和应用层数据检测,就好像数据是断开的,从一个会话流向另一个会话一样,如图1.3所示。 参考文献[1]杨永增.谈防火墙技术的发展趋势[[J].电脑学习.2007,   ( 04 ) : 15一16张银霞,赵瑛,朱淑琴.新型防火墙技术及其发展趋势[[J].网络安全技术与应用,2008,(07): 36-38庞勇.防火墙的发展历程与趋势[[J],计算机教育.2004, ( 06 ) : 42-43李伟.基十状态检测的防火墙技术研究与实现[[J].中国优秀硕士学位论文全文数据库,2007,(05):1-73[ 5]土艳平.网络与通信程序设计(第2版)[M].人民邮电出版社.2009, (O1):294一296吴效莹.概述防火墙发展,电脑知识与技术[[J]. 2008, ( 04 ) :657一6_58辜丽川,倪志伟,张敞,朱纪中.一种基十状态检测的嵌入式防火墙[J]. i}一算机应用与软件,2008,(06):275-276f8]文俊浩,姬楷,高存志,郝建伟.嵌入式Linux防火墙系统研究与实现[J ].i}一算机工程与应用,2007,(01):144-146刘宝旭,毕学尧,许榕,‘曾勇.嵌入内核式动态防火墙的设计与实现「J ]. i}一算机工程,2002,(02):11-12李永禄,秦华,土巍.Linux内核状态检测防火墙的研究与分析[月.无线电通信技术,2005,(01):1-3李伟,董冰.基十状态检测的防火墙技术[[J].兵工自化,2005,(07) :55-56李俊娥,土婷,雷公武.UDP状态检测防火墙及实现算法[[J].武汉大学学报(工学版),2004,(04):69-73浪涛.什么是状态检测防火墙[J].网络安全技术与应用,2003, (02) :35   J. McDermott,G.Allwein. A formalism for visual security protocolmodeling [J].Journal of Visual Languages and Computing.2006(006):1一27Antonio Izquierdo, Jose M.Sierra, Joaquin Tomes.An analysis ofconformance issues in implementations of standardized security protocols[J].Computer Standards&Interfaces.2007(002):1一6    Alec Yasinsac, Justin Childs. Formal analysis of modern security protocols [J].Information Sciences.200_5(171)189一211    Giampaolo Bella, Stefano Bistarelli. Information Assurance for security protocols [J].Computers&Security. 2005 (24):322一 333   Jeff Doyle. Routing TCP/IP[M].人民邮电出版社.2003:47-49[19]朱莉.Windows环境下个人防火墙网络封包截获技术研究「J].辽宁师专学报,2007,(03): 41-43  摘要 5-6 Abstract 6-7 致谢 8-13 第一章 绪论 13-18     1.1 概述 13-15         1.1.1 研究背景和意义 13         1.1.2 国内外防火墙技术现状及发展趋势 13-15     1.2 论文的主要内容和解决的问题 15-16         1.2.1 研究内容 15         1.2.2 解决的关键问题 15-16     1.3 本论文的组织结构 16-18 第二章 防火墙技术 18-22     2.1 防火墙概述 18         2.1.1 防火墙定义 18         2.1.2 防火墙功能 18     2.2 防火墙技术分类及比较 18-21         2.2.1 防火墙技术分类 18-20         2.2.2 防火墙技术比较 20-21     2.3 本章小结 21-22 第三章 数据包截获技术 22-29     3.1 Windows/XP 网络协议架构 22-24         3.1.1 Windows/XP 操作系统的总体架构 22-23         3.1.2 TCP/IP 协议在Window52000/XP 中的实现 23-24     3.2 Windows 2000/XP 下截获网络数据包技术分析 24-26         3.2.1 用户态下网络数据包过滤技术 24         3.2.2 核心态下网络数据包过滤技术 24-26     3.3 IP 过滤器挂钩驱动程序 26-28         3.3.1 Windows 2000/XP 设备驱动程序 26-27         3.3.2 Windows 2000/XP 内核模式驱动程序的编译和连接 27         3.3.3 Windows 2000/XP 的服务 27-28     3.4 本章小结 28-29 第四章 嵌入内核式状态检测防火墙系统设计 29-37     4.1 系统功能设计 29     4.2 系统结构设计 29-32         4.2.1 用户态下应用程序 30-31         4.2.2 核心态下自定义驱动程序 31-32     4.3 关键技术 32-36         4.3.1 状态检测技术 32-34         4.3.2 DoS 攻击的检测及防御机制 34-36     4.4 本章小结 36-37 第五章 嵌入内核式状态检测防火墙系统实现 37-53     5.1 系统开发和运行环境 37-38         5.1.1 Microsoft Visual C++6.0 37         5.1.2 Windows 2003 DDK 37         5.1.3 系统运行环境 37-38     5.2 用户态应用程序的实现 38-45         5.2.1 窗口界面及操作功能模块的实现 38-40         5.2.2 规则库管理模块的实现 40-42         5.2.3 驱动管理模块的实现 42-45     5.3 核心态自定义驱动程序的实现 45-52         5.3.1 包截获模块的实现 45-48         5.3.2 规则检测模块的实现 48-51         5.3.3 状态检测模块的实现 51         5.3.4 消息机制模块的实现 51-52     5.4 本章小结 52-53 第六章 系统测试和分析 53-58     6.1 系统测试 53-57         6.1.1 系统窗口界面及操作功能测试 53-54         6.1.2 协议过滤测试 54-55         6.1.3 端口扫描测试 55-56         6.1.4 响应时间和传输效率测试 56-57     6.2 本章小结 57-58 第七章 总结与展望 58-59     7.1 总结 58     7.2 展望 58-59 参考文献 59-62 硕士期间发表的学术论文 62