我整理的投標(biāo)書.doc

hope工作室 杭州匯文教育咨詢有限公司Http深度檢測(cè)防火墻方案投標(biāo)書 hope工作室目 錄一、公司介紹以及在本項(xiàng)目中的優(yōu)勢(shì)21.1 公司介紹21.2 公司在本項(xiàng)目中的優(yōu)勢(shì)2二、項(xiàng)目技術(shù)方案32.1 開發(fā)背景32.2 功能特色32.3 平臺(tái)搭建32.4 系統(tǒng)框架42.5 技術(shù)路線4 2.5.1 網(wǎng)絡(luò)黑、白名單功能.4 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 .4 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制. 2.5.4 IP過(guò)濾. 2.5.5 URL過(guò)濾. 2.5.6 HTTP保護(hù)功能.2.5.7 日志功能6三、項(xiàng)目管理方案63.1 項(xiàng)目計(jì)劃成熟度63.1.1 整體管理63.1.2 溝通管理73.1.3 項(xiàng)目的狀態(tài)周報(bào)制度83.2 質(zhì)量控制管理83.2.1 質(zhì)量基本規(guī)劃83.2.2 質(zhì)量保證83.2.3 質(zhì)量檢查93.3 配置管理93.4 風(fēng)險(xiǎn)控制9四、項(xiàng)目實(shí)施94.1 實(shí)施計(jì)劃94.2 所需的資源列表94.2.1 硬件資源94.2.2 人力資源104.2.3 軟件資源104.3 項(xiàng)目報(bào)價(jià)10Http深度檢測(cè)防火墻方案投標(biāo)書首先，感謝杭州匯文教育咨詢有限公司的關(guān)注，以及提供我們參與此次項(xiàng)目的機(jī)會(huì)，讓我們工作室的學(xué)員們能夠更好地積累實(shí)戰(zhàn)經(jīng)驗(yàn)，為踏上社會(huì)之路做充分的準(zhǔn)備。冀望于此次接觸機(jī)會(huì)及交流過(guò)程，能夠成為中國(guó)計(jì)量學(xué)院和杭州匯文教育咨詢有限公司打開雙方合作之門的良好基石。在調(diào)查和理解Http深度檢測(cè)防火墻項(xiàng)目的目標(biāo)，以及對(duì)Http深度檢測(cè)防火墻相關(guān)背景分析的基礎(chǔ)上，我們查閱了相關(guān)的資料并撰寫了本文。旨在向杭州匯文教育咨詢有限公司介紹我們對(duì)此項(xiàng)目的思路及相關(guān)建議，且展示hope工作室在此次項(xiàng)目上的計(jì)劃、開發(fā)與創(chuàng)新能力。1、 公司介紹以及在本項(xiàng)目中的優(yōu)勢(shì)1.1 公司介紹公司名稱 hope工作室地 址匯文計(jì)量班 所有制類別 股份制審定企業(yè)施工級(jí)別 平均人數(shù) 10人企業(yè)成立于2010年3月，曾獲獲班內(nèi)搶答比賽第二名 工程師4名（包括兩名測(cè)試工程師兩名軟件工程師） 本工作室，課堂表現(xiàn)活躍，課下討論積極，組內(nèi)氣氛容恰。每個(gè)人對(duì)本階段的c語(yǔ)言典型算法均能熟練運(yùn)用，在本學(xué)校電子設(shè)計(jì)大賽上本組有三人獨(dú)立完成了1000+C語(yǔ)言代碼量的書寫。本組分工明確，在ceo的布置下，每個(gè)人均能發(fā)揮100%的作用，小組內(nèi)還有每周一次的學(xué)術(shù)討論及互幫互助機(jī)制，即強(qiáng)帶弱，快帶慢，以至現(xiàn)在水平較平均且每個(gè)人都能獨(dú)立完成自己的任務(wù)，在此次項(xiàng)目中我們深知團(tuán)隊(duì)的必要性，這正是我們組的優(yōu)勢(shì)所在，組內(nèi)融洽的氣氛無(wú)疑能將團(tuán)隊(duì)的和諧帶入本項(xiàng)目中，并完成這個(gè)項(xiàng)目。我們的理想和目標(biāo)是：生產(chǎn)出讓客戶滿意的產(chǎn)品。1.2 公司在本項(xiàng)目中的優(yōu)勢(shì) 二、項(xiàng)目技術(shù)方案 2.1 開發(fā)背景：現(xiàn)如今在科技大爆炸的時(shí)代里，Internet 迅速發(fā)展，為我們提供了信息發(fā)布、信息檢索的平臺(tái)，但當(dāng)我們陶醉于在大量資源共享的同時(shí)，信息污染、信息破壞這些問(wèn)題也應(yīng)運(yùn)而生。為了保護(hù)數(shù)據(jù)及資源的安全性，出現(xiàn)了防火墻。這種保護(hù)裝置可以使Web服務(wù)器不被非法用戶攻擊，檢查并過(guò)濾那些大量占用消費(fèi)服務(wù)器資源的請(qǐng)求，為用戶的數(shù)據(jù)、資源以及聲譽(yù)提供了保障。 2.2 功能特色：我們現(xiàn)在進(jìn)行開發(fā)的Http深度檢測(cè)防火墻是基于新的NDIS 6.2來(lái)進(jìn)行的。NDIS相比于filter-hook driver，有較大的優(yōu)勢(shì)：u filter-hook在網(wǎng)絡(luò)stack的頂端會(huì)跟Internet Connection Sharing (ICS)或其它網(wǎng)絡(luò)組件沖突。u filter-hook基于ipfiltdrv.sys的callback機(jī)制，所以依賴ipfiltdrv驅(qū)動(dòng)。u firewall-hook driver 不符合防火墻的要求，因?yàn)樗诰W(wǎng)絡(luò)協(xié)議棧中的運(yùn)行速度過(guò)高。而我們基于NDIS6.2平臺(tái)下來(lái)開發(fā)的Http深度檢測(cè)防火墻主要有以下功能：u 黑名單功能；添加、刪除及清空黑名單。u 白名單功能；添加、刪除及清空白名單。u 端口保護(hù)功能。u IP過(guò)濾u URL功能u HTTP功能u 日志功能利用NDIS-HOOK技術(shù)實(shí)現(xiàn)的Linux防火墻具有以下特點(diǎn)：u 編程方便、接口簡(jiǎn)單、思路明確、性能穩(wěn)定；u 更靈活，可以僅僅截獲自己所需要的信息，不需要冗余的代碼；u 功能強(qiáng)大，可以截獲所有DNIS和TDI函數(shù)完成的功能，比標(biāo)準(zhǔn)方式功能欠打很多；u 安全性高，這樣截獲封包較為底層，不容易被穿透；u 安裝簡(jiǎn)單，方便，快捷。 2.3 平臺(tái)搭建： Linux服務(wù)器上NDIS 6.2 2.4 系統(tǒng)框架： 防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。本防火墻軟件主要是安裝在Linux服務(wù)器上，保護(hù)WEB服務(wù)器不被非法用戶攻擊，主要是保護(hù)類似CC攻擊，檢查并過(guò)濾那些極消費(fèi)服務(wù)器資源的請(qǐng)求。防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施，是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國(guó)防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。 防火墻系統(tǒng)結(jié)構(gòu)圖：防火墻 HTTP請(qǐng)求 防火墻系統(tǒng) HTTP響應(yīng) TCP連接Intranet主機(jī)瀏覽器 服務(wù)器防火墻功能模塊InternetCGIApache web 服務(wù)器2.5 技術(shù)路線： 2.5.1 網(wǎng)絡(luò)黑、白名單功能網(wǎng)絡(luò)訪問(wèn)白名單。受控的程序，不進(jìn)入黑白名單的檢查；不受控的程序，進(jìn)入黑白名單的檢查，在白名單內(nèi)的程序放行，否則阻止。 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 工作在應(yīng)用層的服務(wù)程序首先和驅(qū)動(dòng)程序創(chuàng)建的信息設(shè)備建立連接，獲得句柄，調(diào)用DeviceIoControl和驅(qū)動(dòng)程序進(jìn)行通信，發(fā)送控制碼，調(diào)用相應(yīng)的內(nèi)核中的處理函數(shù)。此函數(shù)遍歷監(jiān)聽hash表，由表頭指針找到hash表，從listen_entry結(jié)構(gòu)中獲取協(xié)議、地址、端口信息。然后通過(guò)listen_entry結(jié)構(gòu)中保存的地址對(duì)象的信息，找到對(duì)應(yīng)ote_entry結(jié)構(gòu)中保留的此連接對(duì)應(yīng)的pid信息。最后,返回應(yīng)用層的時(shí)候，把剛才獲得的協(xié)議、地址、端口信息和對(duì)應(yīng)的pid信息存入listen_nfo結(jié)構(gòu)中，并由pid得到對(duì)應(yīng)的進(jìn)程名pname。 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制只有以下四個(gè)條件全部符合，才能匹配規(guī)則的基于五元組方面的控制:1.請(qǐng)求的源IP地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則的源IP 地址和地址掩碼進(jìn)行與運(yùn)算；2.請(qǐng)求的目的IP 地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則目的IP地址和地址掩碼進(jìn)行與運(yùn)算；3.規(guī)則的源端口號(hào)為0，或者規(guī)則的源端口號(hào)不為0，規(guī)則的源端口2為0，且請(qǐng)求的源端口號(hào)要和規(guī)則的源端口號(hào)相等?；蛘?，規(guī)則的源端口號(hào)不為0，規(guī)則的源端口2也不為0，但是請(qǐng)求的源端口號(hào)要在規(guī)則的源端口號(hào)和規(guī)則的源端口號(hào)2之間。4.規(guī)則的目的端口號(hào)為0，或者 目的端口號(hào)不為0，但是規(guī)則的端口2為0，且請(qǐng)求的目的端口號(hào)要與規(guī)則的目的端口號(hào)相等?；蛘撸?guī)則的目的端口號(hào)不為0，規(guī)則的目的端口2也不為0，但是請(qǐng)求的目的端口號(hào)要在規(guī)則的目的端口號(hào)和規(guī)則的目的端口2之間。 2.5.4 IP過(guò)濾簡(jiǎn)單的黑名單白名單的IP過(guò)濾功能對(duì)于某些惡意的IP攻擊已無(wú)法達(dá)到很好的防護(hù)，這種防護(hù)功能無(wú)法濾除IP持續(xù)對(duì)端口發(fā)送連接請(qǐng)求請(qǐng)求。只能通過(guò)特殊的IP防護(hù)功能進(jìn)行防護(hù)，同一個(gè)IP若在時(shí)間x內(nèi) 連接y次則在時(shí)間z內(nèi)屏蔽此IP。1. 自行設(shè)置x、y、z。2. 客戶向守護(hù)進(jìn)程發(fā)出訪問(wèn)WEB站點(diǎn)的請(qǐng)求3. 守護(hù)進(jìn)程一直監(jiān)聽相應(yīng)的端口等待客戶請(qǐng)求4. 當(dāng)收到請(qǐng)求時(shí)記錄下客戶的IP，同時(shí)計(jì)算出在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)5. 若在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)小于y次則允許客戶直接訪問(wèn)并檢索高速緩存。6. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶7. 若沒(méi)有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器8. 獲取客戶所需要的目標(biāo)返回給客戶，同時(shí)更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。9. 結(jié)束后關(guān)閉系統(tǒng)。10. 若在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)大于或等于y次則時(shí)間z內(nèi)屏蔽該IP。、流程圖： 返 回 發(fā)送請(qǐng)求 用 戶 時(shí)間Z內(nèi)屏蔽該IP 返 回 信 息 用 戶 信 息 大于 或者 等于 X時(shí)間內(nèi) Y 小于Y 客戶 記錄IP 守護(hù)進(jìn)程有相應(yīng)信息高速緩存訪問(wèn)次數(shù)無(wú)相應(yīng)信息連接請(qǐng)求 2.5.5 URL過(guò)濾通過(guò)部署URL過(guò)濾，我們可以利用第三方公司的服務(wù)從終端用戶過(guò)濾掉惡意或不恰當(dāng)?shù)幕ヂ?lián)網(wǎng)流量。除了可以簡(jiǎn)單的開啟或關(guān)閉過(guò)濾功能外，我們也可以為特定的網(wǎng)站和用戶開放這些內(nèi)容或者站點(diǎn)。但是過(guò)濾只是對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查，并按照防火墻的策略進(jìn)行過(guò)濾，它沒(méi)有去檢查實(shí)際的目的地址。因此只要我們先通過(guò) nslookup（nslookup是NT、2000中連接DNS服務(wù)器，查詢域名信息的一個(gè)非常有用的命令）獲取我們需要控制的網(wǎng)址的地址，把這個(gè)地址定義成一個(gè)具體對(duì)象。1. 自行設(shè)置x、y、z。2. RL對(duì)數(shù)據(jù)把內(nèi)容進(jìn)行檢查。3. 通過(guò)nslookup獲取客戶的IP地址。4. 記錄下該客戶的IP，同時(shí)計(jì)算出在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)5. 若在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)小于y次則允許客戶直接訪問(wèn)并檢索高速緩存。6. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶7. 若沒(méi)有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器8. 獲取客戶所需要的目標(biāo)返回給客戶，同時(shí)更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。9. 結(jié)束后關(guān)閉系統(tǒng)。10. 若在時(shí)間x內(nèi)該IP的訪問(wèn)次數(shù)大于或等于y次則時(shí)間z內(nèi)屏蔽該IP。流程圖:客 戶守護(hù)進(jìn)程驗(yàn)證碼錯(cuò)誤驗(yàn)證碼正確發(fā)驗(yàn)證碼高速緩存有相關(guān)信息無(wú)相應(yīng)信息連接請(qǐng)求發(fā)送請(qǐng)求返回客戶信息返回客戶信息回發(fā)驗(yàn)證碼2.5.6 HTTP保護(hù)功能若以惡意軟件持續(xù)向端口發(fā)送請(qǐng)求時(shí)，簡(jiǎn)單的防火墻功能無(wú)法識(shí)別該請(qǐng)求是客戶請(qǐng)求還是惡意軟件的攻擊。因此對(duì)打開了HTTP保護(hù)時(shí)，每IP第一次請(qǐng)求HTTP信息時(shí)生成一個(gè)隨機(jī)驗(yàn)證碼并回發(fā)給客戶，若是惡意軟件攻擊是無(wú)法自行發(fā)回驗(yàn)證碼的。因此當(dāng)守護(hù)進(jìn)程收到正確的隨機(jī)驗(yàn)證碼時(shí)則證明是客戶請(qǐng)求，允許訪問(wèn)并轉(zhuǎn)向到原來(lái)請(qǐng)求的網(wǎng)站， 并在一定時(shí)間內(nèi)允許此IP直接訪問(wèn)。1. 客戶向守護(hù)進(jìn)程發(fā)出訪問(wèn)WEB站點(diǎn)的請(qǐng)求2. 守護(hù)進(jìn)程一直監(jiān)聽相應(yīng)的端口等待客戶請(qǐng)求3. 當(dāng)守護(hù)進(jìn)程受到客戶請(qǐng)求是時(shí)生成一隨機(jī)驗(yàn)證碼并回發(fā)給客戶端同時(shí)屏蔽該客戶請(qǐng)求。4. 在一定時(shí)間內(nèi)，若客戶發(fā)回驗(yàn)證碼則在一定時(shí)間內(nèi)允許客戶直接訪問(wèn)并檢索高速緩存。5. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶6. 若沒(méi)有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器7. 獲取客戶所需要的目標(biāo)返回給客戶，同時(shí)更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。8. 結(jié)束后關(guān)閉系統(tǒng)。9. 在一定時(shí)間內(nèi)，若客戶對(duì)隨機(jī)驗(yàn)證碼沒(méi)有相應(yīng)的回應(yīng)而只是不停地像守護(hù)進(jìn)程發(fā)出WEB站點(diǎn)的進(jìn)程，則在一定時(shí)間內(nèi)禁止該客戶訪問(wèn)并屏蔽該客戶向守護(hù)進(jìn)程發(fā)出的訪問(wèn)請(qǐng)求。10.