hope工作室杭州汇文教育咨询有限公司——Http深度检测防火墙方案投标书hope工作室目录一、公司介绍以及在本项目中的优势.............................................31.1公司介绍.............................................................31.2公司在本项目中的优势.................................................4二、项目技术方案.............................................错误!未定义书签。2.1开发背景............................................错误!未定义书签。2.2功能特色............................................错误!未定义书签。2.3平台搭建............................................错误!未定义书签。2.4系统框架............................................错误!未定义书签。2.5技术路线............................................错误!未定义书签。2.5.1网络黑、白名单功能......................................................................错误!未定义书签。2.5.2网络端口监控................................................................................错误!未定义书签。2.5.3基于源IP、目的IP、源端口、目的端口、协议的控制...............2.5.4IP过滤.............................................................................2.5.5URL过滤........................................................................2.5.6HTTP保护功能.....................................................................2.5.7日志功能.......................................错误!未定义书签。三、项目管理方案.............................................错误!未定义书签。3.1项目计划成熟度......................................错误!未定义书签。3.1.1整体管理.......................................错误!未定义书签。3.1.2沟通管理.......................................错误!未定义书签。3.1.3项目的状态周报制度.............................错误!未定义书签。3.2质量控制管理........................................错误!未定义书签。3.2.1质量基本规划...................................错误!未定义书签。3.2.2质量保证.......................................错误!未定义书签。3.2.3质量检查.......................................错误!未定义书签。3.3配置管理............................................错误!未定义书签。3.4风险控制............................................错误!未定义书签。四、项目实施.................................................错误!未定义书签。4.1实施计划............................................错误!未定义书签。4.2所需的资源列表......................................错误!未定义书签。4.2.1硬件资源.......................................错误!未定义书签。4.2.2人力资源.......................................错误!未定义书签。4.2.3软件资源.......................................错误!未定义书签。4.3项目报价............................................错误!未定义书签。Http深度检测防火墙方案投标书首先,感谢杭州汇文教育咨询有限公司的关注,以及提供我们参与此次项目的机会,让我们工作室的学员们能够更好地积累实战经验,为踏上社会之路做充分的准备。冀望于此次接触机会及交流过程,能够成为中国计量学院和杭州汇文教育咨询有限公司打开双方合作之门的良好基石。在调查和理解Http深度检测防火墙项目的目标,以及对Http深度检测防火墙相关背景分析的基础上,我们查阅了相关的资料并撰写了本文。旨在向杭州汇文教育咨询有限公司介绍我们对此项目的思路及相关建议,且展示hope工作室在此次项目上的计划、开发与创新能力。一、公司介绍以及在本项目中的优势1.1公司介绍|公司名称|hope工作室|地址|汇文计量班|所有制类别|股份制|审定企业施工级别||平均人数|10人|企业成立于2010年3月,曾获获班内抢答比赛第二名||工程师|4名(包括两名测试工程师两名软件工程师)本工作室,课堂表现活跃,课下讨论积极,组内气氛容恰。每个人对本阶段的c语言典型算法均能熟练运用,在本学校电子设计大赛上本组有三人独立完成了1000+C语言代码量的书写。本组分工明确,在ceo的布置下,每个人均能发挥100%的作用,小组内还有每周一次的学术讨论及互帮互助机制,即强带弱,快带慢,以至现在水平较平均且每个人都能独立完成自己的任务,在此次项目中我们深知团队的必要性,这正是我们组的优势所在,组内融洽的气氛无疑能将团队的和谐带入本项目中,并完成这个项目。我们的理想和目标是:生产出让客户满意的产品。1.2公司在本项目中的优势二、项目技术方案2.1开发背景:现如今在科技大爆炸的时代里,Internet迅速发展,为我们提供了信息发布、信息检索的平台,但当我们陶醉于在大量资源共享的同时,信息污染、信息破坏这些问题也应运而生。为了保护数据及资源的安全性,出现了防火墙。这种保护装置可以使Web服务器不被非法用户攻击,检查并过滤那些大量占用消费服务器资源的请求,为用户的数据、资源以及声誉提供了保障。2.2功能特色:我们现在进行开发的Http深度检测防火墙是基于新的NDIS6.2来进行的。NDIS相比于filter-hookdriver,有较大的优势:filter-hook在网络stack的顶端会跟InternetConnectionSharing(ICS)或其它网络组件冲突。filter-hook基于ipfiltdrv.sys的callback机制,所以依赖ipfiltdrv驱动。firewall-hookdriver不符合防火墙的要求,因为它在网络协议栈中的运行速度过高。而我们基于NDIS6.2平台下来开发的Http深度检测防火墙主要有以下功能:黑名单功能;添加、删除及清空黑名单。白名单功能;添加、删除及清空白名单。端口保护功能。IP过滤URL功能HTTP功能日志功能利用NDIS-HOOK技术实现的Linux防火墙具有以下特点:编程方便、接口简单、思路明确、性能稳定;更灵活,可以仅仅截获自己所需要的信息,不需要冗余的代码;功能强大,可以截获所有DNIS和TDI函数完成的功能,比标准方式功能欠打很多;安全性高,这样截获封包较为底层,不容易被穿透;安装简单,方便,快捷。2.3平台搭建:Linux服务器上NDIS6.22.4系统框架:防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。本防火墙软件主要是安装在Linux服务器上,保护WEB服务器不被非法用户攻击,主要是保护类似CC攻击,检查并过滤那些极消费服务器资源的请求。防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施,是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙系统结构图:防火墙HTTP请求防火墙系统HTTP响应TCP连接浏览器Apacheweb服务器CGI服务器InternetIntranet主机防火墙功能模块2.5技术路线:2.5.1网络黑、白名单功能网络访问白名单。受控的程序,不进入黑白名单的检查;不受控的程序,进入黑白名单的检查,在白名单内的程序放行,否则阻止。2.5.2网络端口监控工作在应用层的服务程序首先和驱动程序创建的信息设备建立连接,获得句柄,调用DeviceIoControl和驱动程序进行通信,发送控制码,调用相应的内核中的处理函数。此函数遍历监听hash表,由表头指针找到hash表,从listen_entry结构中获取协议、地址、端口信息。然后通过listen_entry结构中保存的地址对象的信息,找到对应ote_entry结构中保留的此连接对应的pid信息。最后,返回应用层的时候,把刚才获得的协议、地址、端口信息和对应的pid信息存入listen_nfo结构中,并由pid得到对应的进程名pname。2.5.3基于源IP、目的IP、源端口、目的端口、协议的控制只有以下四个条件全部符合,才能匹配规则的基于五元组方面的控制:1.请求的源IP地址和地址掩码进行与运算等于规则的源IP地址和地址掩码进行与运算;2.请求的目的IP地址和地址掩码进行与运算等于规则目的IP地址和地址掩码进行与运算;3.规则的源端口号为0,或者规则的源端口号不为0,规则的源端口2为0,且请求的源端口号要和规则的源端口号相等。或者,规则的源端口号不为0,规则的源端口2也不为0,但是请求的源端口号要在规则的源端口号和规则的源端口号2之间。4.规则的目的端口号为0,或者目的端口号不为0,但是规则的端口2为0,且请求的目的端口号要与规则的目的端口号相等。或者,规则的目的端口号不为0,规则的目的端口2也不为0,但是请求的目的端口号要在规则的目的端口号和规则的目的端口2之间。2.5.4IP过滤简单的黑名单白名单的IP过滤功能对于某些恶意的IP攻击已无法达到很好的防护,这种防护功能无法滤除IP持续对端口发送连接请求请求。只能通过特殊的IP防护功能进行防护,同一个IP若在时间x内连接y次则在时间z内屏蔽此IP。1.自行设置x、y、z。2.客户向守护进程发出访问WEB站点的请求3.守护进程一直监听相应的端口等待客户请求4.当收到请求时记录下客户的IP,同时计算出在时间x内该IP的访问次数5.若在时间x内该IP的访问次数小于y次则允许客户直接访问并检索