7 应用层（Application Layer）
6 表示层 （Presentation Layer） 5 会话层 （Session Layer）
应用层
4 传输层 （Transport Layer）
核心层
3 网络层 （Network Layer） 2 数据链路层（Data Link Layer）
1 物理层 （Physical Layer）
防火墙的基本类型
❖ 从实现防火墙的技术来分，有四大类： ❖ 1.网络级防火墙 ❖ 2.应用级网关 ❖ 3.电路级网关 ❖ 4.规则检查防火墙
截取网络封包基础知识
❖ 截获网络封包的方法有多种。 ❖ 1.NDIS ❖ 2.TDI ❖ 3.SPI ❖ 4.API
协议与Windows结构的概略映射图
OSI7 层协议模型
本课题研究方法
❖ 本设计运用IP过滤技术设计和实现。本次毕业设计 应首先分析防火墙的相关功能，结合本次毕业设计的相关 要求写出需求分析；其次，综合运用自己所学的相关知识 ，在设计中以需求分析为基础，写出系统开发计划、实现 流程及相关问题的实现方法。
意义
❖ 随着计算机技术和网络技术的发展，计算机网络给人们带 来了很多便利，于此同时网络安全的问题也伴随着网络技 术的发展而日趋严重。使用防火墙能很好的提高系统的安 全性，减少系统受到网络安全方面的威胁。
程序测试图
测试图
测试图
测试图
测试图
优缺点
❖ 本软件的优点： ❖ 首先，它不会象其它防火墙一样在对应用程序初始授权时弹出询问窗
口,破坏用户的心情。 ❖ 其次，本软件是基于状态检测技术的，对于通过它的数据包都要进行
检测，而不管应用程序是否已经得到用户授权。它会自动对本地数据 包的一些关键信息进行状态检测，符合安全规则的就放行，不符合的 就要采取相应措施来处理。 ❖ 第三，查询功能使管理员能够有效的查找所需记录。 ❖ 本软件的不足之处很多，概括起来主要有以下两点： ❖ 一是界面比较单调。在如今越来越重视用户界面的友好性和交互性的 情况下，本软件的界面让人觉得枯燥无味。 ❖ 二是功能较单一。它只能检测TCP/SYN攻击和UDP攻击，对其它 攻击则不作响应。此外，对这两个攻击的分析还不够深入，状态检测 机制还不够完善。这其中一部分原因是由于时间不允许，不能再作进 一步分析，只能靠后人来完善了。
模
模
动
除
能
能
块
块
块
功
功
模
模
能
能
块
块
模
模
块
块
❖ 1.应用程序类CFireWallAPP ❖ 2.主框架类CMainFrame ❖ 3.文档类CFireWallDoc ❖ 4.视图类CFireWallView ❖ 5.RuleInfo类
程序关键类
系统界面
添加过滤规则界面
添加过滤规则流程图
删除过滤规则流程图
防火墙的设计与实现
07计科马乐
1.课题背景 2.研究方法 3.意义 4.防火墙介绍 5.基本类型 6.获取封包基础知识 7.协议概略影射图 8.需求分析与设计思路 9.功能模块与图 10.程序关键类
11. 系统界面
目录
12.添加与删除规则流程图 13.驱动程序设计 14.程序测试图 15.优缺点 16.总结 17.引用作品Байду номын сангаас18.谢辞
开始
取得当前选择的规则
正在过滤？
否
调用 DeleteRule()
是
停止过滤
更新列表显示
结束
驱动程序设计
❖ 基于Firewall-Hook Driver的包过滤驱动程序位于核 心态，运行效率高，主要用于在IP过滤驱动中拦截所有 的网络数据包，根据过滤规则判别是否接收或发送数据包 。同时处理上层应用程序发送的IRP，接收应用程序发送 的过滤规则等。
❖ 本毕业设计选择开发一个Windows下的防火墙。通过 此防火墙的开发锻炼了我们的实际动手能力对以后的学习 和工作能力的培养具有重要意义。
防火墙的介绍
❖ 放火墙是一类防范措施的总称。所谓“防火墙”，是 指一种将内联网和公众访问网(外联网Internet)分开的 方法，它使得内联网与外联网互相隔离，限制网络互访来 保护内部网络。它是一个或一组由软件和硬件构成的系统 ，在两个网络通讯时执行的一种访问控制尺度，它能允许 你“同意”的人和数据进入你的网络，同时将你“不同意” 的人和数据拒之门外，最大限度地阻止网络中的黑客访问 网络，防止重要信息被更改、拷贝、毁坏。设置防火墙目 的都是为了在内部网与外部网之间设立唯一的通道，简化 网络的安全管理。
总结
❖ 此防火墙操作简单，能够实现包过滤功能。按照用户 设置的规则进行数据包过滤。能运行于Windows系统 ，屏蔽不安全的站点、对进出的网络数据进行过滤，在一 定程度上提高了系统的安全性，可有效的防止计算机受到 外部网络攻击。此防火墙的开发是在了解和熟悉了TCP 、UDP、ICMP协议以及IP封包过滤驱动的基础上，运 用VC++这一编程语言来开发的。相对于互联网上的知 名防火墙相比整个防火墙还不成熟，但它具有操作简单明 了的特点。在以后的学习中随着自身技术的提高，我会进 一步完善整个防火墙，使它具有更多的功能对计算机安全 起到更好的作用。
课题背景
❖ 防火墙是一种隔离技术，是一类防范措施的总称，利用它 使得内部网络与Internet或者其他外部网络之间相互隔 离，通过限制网络互访来保护内部网络。防火墙是建立在 内部网络与外部网络之间的唯一安全通道，简单的可以只 用路由器实现，复杂的可以用主机甚至一个子网来实现， 它可以在IP层设置屏障，也可以用应用软件来阻止外来 攻击。通过制定相应的安全规则，可以允许符合条件的数 据进入，同时将不符合条件的数据拒之门外，这样就可以 阻止非法用户的侵入，保证内部网络的安全。
Windows 结构
7 应用程序（EXE） 6 Winsock API （DLL） 5 SPI （DLL） 4 TDI （.vxd, .sys） 3 NDIS （.vxd, .sys） 2 网卡驱动程序（.vxd, .sys） 1 网卡
需求分析与设计思路
❖ 根据程序的需求来完成功能和模块化设计的思想，总体设 计思路如下： 任何程序都必须具有和用户进行信息交互的功能，因 此用户接口部必须考虑，根据功能要求，该部分应具备： 用户操作的功能菜单、能对过滤规则进行设置、显示规则 界面、添加规则界面。 这样程序的功能模 块应该有：过滤规则添加删除功 能模块，过滤规则显示功能模块，过滤规则存储功能模块， 文件储存功能模块，安装卸载规则功能模块。
❖ 过滤添加删除功能模块 ❖ 过滤规则显示功能模块 ❖ 过滤规则存储功能模块 ❖ 文件存储功能模块 ❖ 文件载入功能模块 ❖ 安装卸载功能摸块 ❖ IP封包过滤驱动功能模块
功能模块
包过滤防火墙
功能模块图
IP
过
过
过
文
文
安
滤
滤
滤
件
件
装
封
规
规
规
储
载
卸
包
则
则
则
存
入
载
过
添
显
存
功
功
功
滤
加
示
储
能
能
能
驱
删
功
功
模