我想做一个防火墙软件,但目前不知从何入手,相关资料太少,我该如何进行?
---------------------------------------------------------------
先学习tcp/ip
进行socket编程,分析数据包...
资料吗,我找找看!!
另外你可以分析linux的内核...
关注!!
---------------------------------------------------------------
防火墙技术
“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常这局域网或城域网)隔开的屏障。
防火墙如果从实现方式上来分,又分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙它是通过纯软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。现在软件防火墙主要有天网防火墙个人及企业版,Norton的个人及企业版软件防火墙,还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙,如KV系列、KILL系列、金山系列等。
硬件防火墙如果从技术上来分又可分为两类, 即标准防火墙和双家网关防火墙。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则连接内部网。标准防火墙使用专门的软件, 并要求较高的管理水平, 而且在信息传输上有一定的延迟。双家网关 (dual home gateway) 则是标准防火墙的扩充, 又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边界,可以确保数据包不能直接从外部网络到达内部网络, 反之亦然。
随着防火墙技术的发展, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关方式, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义, 这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。
---------------------------------------------------------------
学习网络编程和TCP/IP
熟悉掌握防火墙原理!1
现成的代码为何不用?来信,给您寄!!
---------------------------------------------------------------
http://www.xfilt.com有要钱的代码,谁....
---------------------------------------------------------------
防火墙是在内部网络(如企业内部网)与外部网络(如Internet网)之间实
施安全防范的系统,是一种访问控制机制,用于确定哪些内部服务允许外部访问以及允许
哪些外部服务访问内部服务。
一、防火墙的基本准则
1.一切未被允许的就是禁止的
基于这个准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一
种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才
能允许使用。它的不足是安全性高于用户使用的方便性,用户所能使用的服务范围受到限
制。
2.一切未被禁止的就是允许的
基于这个准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法
构成了一种更为灵活的应用环境,可为用户提供更多的服务。它的不足是在日益增多的网
络服务面前,网络管理员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安
全防护。
二、防火墙的基本类型
1.包过滤型
包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤功能,另外计算
机上同样可以安装包过滤软件。包过滤规则以IP(Internet Protoco
l)包信息为基础,对IP源地址、IP目标地址、封装协议端口号等进行筛选。
用路由器实现包过滤和用PC机实现包过滤均在OSI(Open System
Interconnection)协议网络层进行。
2.代理服务型
代理服务型防火墙通常由两部分构成,一是服务器端程序,二是客户端程序。客户端
程序与中间节点连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不
同的是,内部网络与外部网络之间不存在直接的连接,同时提供日志和审计服务。
3.复合型
把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主
机,负责提供代理服务。
4.双端主机型
堡垒主机充当网关,并在其上运行防火墙软件。内部网络与外部网络之间不能直接进
行通信,必须经过堡垒主机。
5.屏蔽主机型
一个包过滤路由器与外部网络相连,同时一个堡垒主机安装在内部网络上,使堡垒主
机成为外部网络所能达到的唯一节点,确保内部网络不受非授权用户的攻击。
6.加密路由器型
加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端口进行解包和解密。
小弟我手里只有这么一份东东
---------------------------------------------------------------
第一:了解Windows操作系统结构,特别是网络部分,注意数据在各个层次及组件间传递处理的过程.
第二:熟悉网络协议.
第三:了解Windows网络编程及核心编程,熟悉底层编程(DDK等)及数据包的分析处理方法.
具体实现:方法可以有多种,基本原理是截取IRP(I/O请求包)包的传递,可以修改系统DLL,也可以在系统中加入一个过滤层,加入自己的层的地方与方法也有多种.自己去看.
---------------------------------------------------------------
"Windows操作系统结构"有没有相应的电子书籍?
---------------------------------------------------------------
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙产品市场量还不到1万套,到1996年底,就猛增到10万套,据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,到2000年将达150万套,市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。
防火墙技术综述
因特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性,因特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能提供任何保护了。
从总体上看,防火墙应具有以下五大基本功能:
①过滤进出网络的数据包;
②管理进出网络的访问行为;
③封堵某些禁止的访问行为;
④记录通过防火墙的信息内容和活动;
⑤对网络攻击进行检测和告警。
防火墙是一种综合性的技术,涉及到计算机网络技术。密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。作为一种解决网络之间访问控制的有效方法,国际上在这方面的研究很多。
在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健全,实用效果并不十分理想。从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来,到目前为止,世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网络厂商也都开始了防火墙产品的开发或者OEM别的防火墙厂商的防火墙产品,如Sun Microsystems公司的Sunscreen,Check Point公司的Firewall-1,Milkway公司的Black Hole等。
国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功了国内首套PC机防火墙系统。此外,还有北京天融信公司的网络防火墙系统——talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的SED-O8路由器、北京大学青鸟的内部网保密网关防火墙、电子部3O所的SS-R型安全路由器、东北大学软件中心的具有信息过滤功能的NetEye防火墙、信息产业部数据所的SJW04防火墙及Proxy98等也都先后开发成功。
防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了如何对网络数据设计路由。从这个一以上讲,构造一个好的防火墙需要直觉、创造和逻辑的共同作用,一个好的防火墙系统应具有以下五方面的特性:
·所有在内部网络和外部网络之间传输的数据都必须通过防火墙;
·