的服务。后条策略允许切没有被禁止的服务，防火墙转发所有信息，逐删除被禁止的服务。规划代理服务器代理服务器是防火墙系统中的个服务器进程，安装运行在防火墙主机上，为内部网络与外部网络充当中继，阻止内部网络与外部网络的直接连接。由于它作用于应用层，故可以利用各种安全技术，如身份验证日志记录审计跟踪等技术来加强内部网络安全性，解决包过滤所不能解决的问题，从而建立个更加严密的防火墙系统。对于网络管理员来说，选择个成熟且便于管理和配置的代理服务器程序非常重要，图给出了代理服务器的逻辑结构。代理代理代理用户身份验证模块监控记录模块二包过滤规则与代理服务器的总体设计按照防火墙系统总体设计基本思想，本文给出了个基于包过滤技术图代理服务器的逻辑结构代理技术以及身份验证技术相结合的实用防火墙系统。该防火墙系统由个内部路由器个代理服务器和个边界路由器构成个中间的过滤子网，以实施安全防护。包过滤规则的设计对于过滤路由器中过滤规则的设计，我们采用的安全策略是不允许源路由，起于内部网络的服务允许给过滤子网中的代理服务器，允许外部网络到代理服务器的流量，允许过滤子网中代理服务器到内部网络的流量。设计的过滤规则如表表。采用这种过滤机制，使得路由器中的规则库仅包含条规则，既方便维护和管理，又易于验证过滤规则的完备性和正确性。过滤规则号允许拒绝源地址源端口号目的地址目的端口号协议位描述允许外部网络代理服务器允许内部网络允许代理服务器表外部路由器过滤规则表过滤规则号允许拒绝源地址源端口号目的地址目的端口号协议位描述允许内部网络允许允许代理服务器表内部路由器过滤规则表代理服务器的设计代理服务器为内部网络和外部网络双方的通信充当中继，阻止内部网络和外部网络的直接连接，再辅以用户身份验证模块和监控记录模块，可以完全控制通信双方的会话过程，提供更高级的安全性。本文提供了种常用的代理服务模型，其逻辑结构如图。图代理服务器逻辑结构我们选用代理服务器软件，在安装好代理服务器后，再设计个代理服务器的配置文件，代理服务器根据该配置文件的源地址目的地址和身份验证控制内外网络的访问权限，利用监控记录模块实现对所有数据流的监控和记录，以提供网管所需的各种数据。另外，为了防止侵入者窃取系统口令文件和通过偷听网络连接来获取合法用户和口令，从而对内部网络进行攻击，本系统采用了次性口令系统对用户身份进行认证，以进步提高整个网络系统的安全性。五基于的数据包捕获模块基于的数据包捕获模块结构数据包捕获模块用于监视和验证网络流量情况，它可以截取或者阅读网络上协议模型中各个协议层次上的数据包。本文所设计的数据包捕获程序可以捕获通过原始套接口的原始数据包，当个数据包到达网络接口时，数据包捕获程序就直接从缓存区读取捕获的数据包，以供数据分析和处理时调用。数据捕获模块的结构如图所示数据捕获网卡设置获取数据包得到数据包头信息图数据捕获模块结构图二基于的数据包捕获模块原理分析网卡设置原理在个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的程序接收数据帧的目的地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢掉不管。而对于网卡来说般有四种接收模式广播模式组播模式直接方式混杂模式。数据包捕获程序首先使网络接口网卡处于混杂状态，从而可截获网络上的内容，并且通过相应的软件处理，可以实时分析这些数据的内容，为数据包过滤作准备。基本函数说明本文中在主机上用语言编写数据包捕获程序，所编写的程序中用到很多中的预定义函数，在此节将对这些基本函数的功能和使用特点进行说明。函数定义。函数非常庞杂，它可以控制各种文件的属性。它用于控制特殊文件的底层设备参数，这些特殊文件通常是指终端套接字和接口。函数原型为函数定义。常用的类型有两种流式和数据包式。流式是种面向连接的，针对面向连接的服务应用数据报式是种无连接的，针对无连接的服务应用。函数原型为函数定义。用函数来实现接收数据包，是具备阻塞式特性的函数，能够在没有数据包到达的情况下暂时挂起等待，直至接收到数据包后，再激活转入下步处理。函数的原型为本函数从已连接套接口上接收数据，并捕获数据发送源的地址。对于类型的套接口，最多可以接收缓冲区大小个数据。如果套接口被设置为线内接收带外数据选项为，且有带外数据未读入，则返回带外数据。应用程序可通过调用的命令来确定是否有带外数据待读入。对于体以下是相应数据结构位的目标地址的网卡物理地址位的源地址的物理网卡地址位的以太网协议结构体这是的协议报头，针对版本的不同它可以有不同的定义，我们国内般用的定义，其中是的版本，是的协议分类，是位的源地址，是位的目标地址。结构体这是下协议的部分，与协议相同取，其中是源端口，是目的端口，是序，是序号，其余的是的连接标志其中包括个标志表示连接请求，表示紧急信息，表示连接结束，表示连接应答，表示推栈标志，表示中断连接。是表示接受数据窗口大小，是校验码，是紧急指针。结构体这是下协议中协议的部分，以下是相应数据结构源端口目的端口长度校验码六结论本文设计的是个基于主机的包过滤型个人防火墙，它实现的功能和现今市场上流行的防火墙有巨大差距。随着技术的不断发展，防火墙也处于不断的变化之中。防火墙技术经历了包过滤应用代理网关再到状态检测三个阶段。其中状态检测是比较先进的防火墙技术，它摒弃了包过滤防火墙仅考查数据包的地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成个个的会话，利用状态表跟踪每个会话状态。状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在些规则复杂的大型网络上。深度包检测技术将为防火墙的发展提升到个新的阶段。该技术对数据包头或有效载荷所封装的内容进行分析，从而引导过滤和记录基于的应用程序和服务通信流量，其工作并不受协议种类和应用程序类型的限制。采用深度包检测技术，企业网络可以获得性能上的大幅度提升无需购买昂贵的服务器或是其他安全产品。参考文献孙建华等编著网络系统管理实训篇人民邮电出版社美著余青霓译防火墙人民邮电出版社美著技术参考大全清华大学出版社美著宝典电子工业出版社美著防火墙原理与实施电子工业出版社林宇郭凌云编著网络编程人民邮电出版社环境下的网络编程深入学习网络监听技术张晓玲基于主机防火墙的设计与实现天津工业大学蒋雄伟下的分布式防火墙设计与实现南京理工大学刘金基于的入侵防御系统电子科技大学刘正海基于嵌入式防火墙的研究与实现重庆大学伍锦群防火墙技术的探讨长春理工大学学报高教版张建中高宁防火墙在中小型企业的应用安徽建筑工业学院学报自然科学版，卷期周方晓基于抵御攻击防火墙研究与实现西安电子科技大学致谢感谢您，我的老师，你们勤奋追求，不知疲倦，为我们做出了最好的表率。你们治学严谨，无私奉献，不言索取，不求回报。你们循循善诱，期勉我们全面发展，包容我们的无知与固执，更正我们的和缺点。你们苦心的期待只是我们健康成长。陪我们走过了四年时光，就让我们在这里深情的道声感谢，留份祝愿。遇到你们是学生最大的幸运。类型套接口，忽略和参数。些字节顺序转换函数。因为网络和主机采用的存储字节时内存顺序安排方式的差异，就存在字节顺序的问题。在网络环境下存储时，高位字节存放在内存的起始位置，而低字节则存放在较高的位置。主机形式的存放顺序恰好相反，低位字节存放在内存的起始位置。这就需要以下相应的字节顺序转换函数将位的网络二进制数值转换为可读十进制形式的带点分割符的地址。将带有分割符的地址转换为位的的格式。将网络字节顺序转换为位的主机字节顺序。将网络字节顺序转换成位的主机字节顺序。将位的值由主机字节顺序转换为网络字节顺序。将位的值由主机字节顺序转换为网络字节顺序。本文设计的数据捕获程序需要使用设备，只在基于的操作系统中有效定义。为此，美国洛仑兹伯克利国家实验室编写了专用于数据包截获的函数库。该函数的设计目标是统不同系统上所提供的用于数据包截获的不同类型接口，并使得类似的高层应用程序的编写和移植变得简单有效，不再需要对每个应用都使用不同的依赖于具体系统的数据包截获模块。三数据包捕获模块设计数据包捕获模块设计流程我们先说明对外来连接进行过滤的工作流程。第步首先，操作系统启动策略守候进程，并调用打开策略驱动。策略守候进程读取本地的包含策略和凭证的文件当然，也可以定制进程启动时即从远程的服务器上下载更新策略和凭证，将初始化有关数据结构。策略守候进程调用，试图从策略驱动中读取连接请求信息。如果驱动中没有请求信息，则守候进程阻塞。第二步服务器进程收到了连接请求，首先调用。这个被修改过的系统调用形成策略上下文并提交到策略驱动中。服务器进程阻塞。第三步此时，返回请求消息，策略守候进程被唤醒。它读取该消息，调用的致性检查器根据本地策略和凭证进行分析。如果未找到与此连接相关的策略，策略守候进程就联系远程的服务器查找下载相应的凭证。若策略许可即找到策略或安全凭证，根据签名算法验证无误，并且符合凭证断言，则允许该连接，若在本地及远程服务器上均没有找到相应的策略或凭证，或者与策略凭证的断言不符，则拒绝之。策略守候进程调用将自己的决策写入策略驱动中。第四步从策略驱动中读取策略守候进程的决策，服务器进程被唤醒。若决策允许，返回非负的套接字描述符否则返回拒绝该连接请求。对系统向外发起连接的进行过滤的系统流程与此类似。其它两个系统调用的功能是，关闭伪设备驱动，