QuickSurf流量防火墙软件设计和实现.doc

QuickSurf流量防火墙软件设计和实现 　　摘 要：当前很多个人、企业的网络带宽很大，但却常常发生网络堵塞的情况。用户的网速变慢，恶意程序盗取用户隐私资料，并通过联网将用户隐私数据上传到攻击者，或是未知蠕虫入侵电脑并尝试感染邻近主机，除危害到主机安全外，还有可能导致整个网络信息的泄露。本文在现有模型基础上，针对建立个人电脑对流量监控的需求，采用在NDIS驱动层的开发包设计并实现一款能够实时查看应用程序联网情况，流量分析以及流量进行控制的软件，其最大特点是程序运行占用内存率较低，且能为联网程序设置联网的黑、白名单并自动限制大流量程序的联网速率，使得用户对本机网络的管理更加清楚，方便用户对本机的联网程序速率进行查看和设置，以保证本机联网业务的正常使用。 关键词：防火墙；数据统计；流量监测；流量控制 中图分类号：TP393.08 目前采用的TCP/IP协议族潜在着安全漏洞以及安全机制不健全，INTERNET网上的黑客趁机而入，非法进入企业的内部网并存取、破坏、窃听数据。防火墙是保护网络安全最主要的手段之一，它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护[1][2]。 目前国内外有较多为企业设计流量防火墙等流量监控软件，技术相对成熟，但为个人设计的流量监控软件却大多数是只监不控。如360流量防火墙软件，Netlimiter，Negie等。360流量防火墙软件，简单易用，但流量管理都是临时的，每次开机后都得重新对一些程序进行限速，没法实时显示流量趋势；Netlimiter，会询问用户是否允许程序建立连接、并设置流量上限值，在windows xp2以上系统使用该软件会出现蓝屏现象。本文就是要为个人设计一个能够自动监控的流量防火墙软件，更好的为个人计算机信息安全提供有效保障而研究开发的软件系统，利用windows 7系统开发，开发环境为VC6.0，可在windows xp、windows 7、windows 8环境下运行。 本方案的设计是通过调用微软提供的NDIS驱动，编写程序实时捕获网络速率。软件需安装微软的WDK开发包，调用WDK开发的NDIS中间层函数，用C语言编写，并在VC6平台下进行开发。 本软件实现的功能有以下几点：（1）实时统计主机上网速率、上传、下载总流量等基本信息；（2）控制应用程序联网、控制网络及应用程序上传、下载速率；（3）进行流量检测并对检测到的流量进行分类；（4）找出占用网络带宽较大的应用程序，并计算出合适的流量上限值，给占用流量较多的应用程序设定推荐流量上限值。 系统功能模块如图1所示： 图1 QuickSurf流量防火墙系统功能模块图 1 软件系统整体框架 本项目可通过读取注册表的信息以获得当前应用程序列表，再通过调用NDIS的函数可以得到获得网络速率、应用程序速率等信息。具体程序实现用C语言，读取速率会比较快。先将网卡设置为混杂模式，收集主机和外网间的所有数据包信息。然后用现已公开的数据流分析、数据包分析、数据统计分析，来对应用程序的流量进行特征分析。定时检测，将异常流量上传到开源的服务器上进行分析对比，以节省昂贵的维护特征库的费用。调用NDIS提供的接口，手动控制应用程序联网级上传下载速率。 流量防火墙功能模型框架如图2所示： 图2 流量防火墙功能模型框架图 2 功能模块分析 2.1 数据统计 收集主机与外网通信的所有数据包，统计出网络速率、网络流量、打开连接数、应用程序流量等详细数据。数据统计模块图如图3所示： 图3 数据统计模块图 协议驱动程序负责维护一个接收缓冲区，该缓冲区以队列的形式组织。当NIC通知NDIS已从网络上就收到数据包时，作为已经在protocolChar结构中注册过的函数，NDIS将调用PacketReceiveIndicate作为接收处理函数将NIC从网络上接收到的数据缓存起来。 流量统计系统将采用三层软件结构来实现，包括NetF10w数据导出，数据采集和数据分析等部分。其中： 数据导出：支持NetRow功能的网络设备，如果其物理接口激活了NetRow功能，并配置了NetRow数据导出的目的IP地址和端口后，该网络设备接口将定期地将NetFlow流数据通过UDP协议传输到NetF10w数据采集服务器； 数据采集：数据采集服务器接受到NetF10w数据后，需要对原始的数据进行处理，如过滤聚合等，并将处理后的数据压缩存储到物理文件上；此外，有另外的进程不断地从存储的物理文件上抽取NetFlow数据，存储到关系型数据库中； 数据分析：通过分析存储在数据库中的流数据，数据分析模块可以统计各种流