我整理的投標書.doc

hope工作室 杭州匯文教育咨詢有限公司Http深度檢測防火墻方案投標書 hope工作室目 錄一、公司介紹以及在本項目中的優(yōu)勢21.1 公司介紹21.2 公司在本項目中的優(yōu)勢2二、項目技術方案32.1 開發(fā)背景32.2 功能特色32.3 平臺搭建32.4 系統(tǒng)框架42.5 技術路線4 2.5.1 網絡黑、白名單功能.4 2.5.2 網絡端口監(jiān)控 .4 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制. 2.5.4 IP過濾. 2.5.5 URL過濾. 2.5.6 HTTP保護功能.2.5.7 日志功能6三、項目管理方案63.1 項目計劃成熟度63.1.1 整體管理63.1.2 溝通管理73.1.3 項目的狀態(tài)周報制度83.2 質量控制管理83.2.1 質量基本規(guī)劃83.2.2 質量保證83.2.3 質量檢查93.3 配置管理93.4 風險控制9四、項目實施94.1 實施計劃94.2 所需的資源列表94.2.1 硬件資源94.2.2 人力資源104.2.3 軟件資源104.3 項目報價10Http深度檢測防火墻方案投標書首先，感謝杭州匯文教育咨詢有限公司的關注，以及提供我們參與此次項目的機會，讓我們工作室的學員們能夠更好地積累實戰(zhàn)經驗，為踏上社會之路做充分的準備。冀望于此次接觸機會及交流過程，能夠成為中國計量學院和杭州匯文教育咨詢有限公司打開雙方合作之門的良好基石。在調查和理解Http深度檢測防火墻項目的目標，以及對Http深度檢測防火墻相關背景分析的基礎上，我們查閱了相關的資料并撰寫了本文。旨在向杭州匯文教育咨詢有限公司介紹我們對此項目的思路及相關建議，且展示hope工作室在此次項目上的計劃、開發(fā)與創(chuàng)新能力。1、 公司介紹以及在本項目中的優(yōu)勢1.1 公司介紹公司名稱 hope工作室地 址匯文計量班 所有制類別 股份制審定企業(yè)施工級別 平均人數 10人企業(yè)成立于2010年3月，曾獲獲班內搶答比賽第二名 工程師4名（包括兩名測試工程師兩名軟件工程師） 本工作室，課堂表現活躍，課下討論積極，組內氣氛容恰。每個人對本階段的c語言典型算法均能熟練運用，在本學校電子設計大賽上本組有三人獨立完成了1000+C語言代碼量的書寫。本組分工明確，在ceo的布置下，每個人均能發(fā)揮100%的作用，小組內還有每周一次的學術討論及互幫互助機制，即強帶弱，快帶慢，以至現在水平較平均且每個人都能獨立完成自己的任務，在此次項目中我們深知團隊的必要性，這正是我們組的優(yōu)勢所在，組內融洽的氣氛無疑能將團隊的和諧帶入本項目中，并完成這個項目。我們的理想和目標是：生產出讓客戶滿意的產品。1.2 公司在本項目中的優(yōu)勢 二、項目技術方案 2.1 開發(fā)背景：現如今在科技大爆炸的時代里，Internet 迅速發(fā)展，為我們提供了信息發(fā)布、信息檢索的平臺，但當我們陶醉于在大量資源共享的同時，信息污染、信息破壞這些問題也應運而生。為了保護數據及資源的安全性，出現了防火墻。這種保護裝置可以使Web服務器不被非法用戶攻擊，檢查并過濾那些大量占用消費服務器資源的請求，為用戶的數據、資源以及聲譽提供了保障。 2.2 功能特色：我們現在進行開發(fā)的Http深度檢測防火墻是基于新的NDIS 6.2來進行的。NDIS相比于filter-hook driver，有較大的優(yōu)勢：u filter-hook在網絡stack的頂端會跟Internet Connection Sharing (ICS)或其它網絡組件沖突。u filter-hook基于ipfiltdrv.sys的callback機制，所以依賴ipfiltdrv驅動。u firewall-hook driver 不符合防火墻的要求，因為它在網絡協(xié)議棧中的運行速度過高。而我們基于NDIS6.2平臺下來開發(fā)的Http深度檢測防火墻主要有以下功能：u 黑名單功能；添加、刪除及清空黑名單。u 白名單功能；添加、刪除及清空白名單。u 端口保護功能。u IP過濾u URL功能u HTTP功能u 日志功能利用NDIS-HOOK技術實現的Linux防火墻具有以下特點：u 編程方便、接口簡單、思路明確、性能穩(wěn)定；u 更靈活，可以僅僅截獲自己所需要的信息，不需要冗余的代碼；u 功能強大，可以截獲所有DNIS和TDI函數完成的功能，比標準方式功能欠打很多；u 安全性高，這樣截獲封包較為底層，不容易被穿透；u 安裝簡單，方便，快捷。 2.3 平臺搭建： Linux服務器上NDIS 6.2 2.4 系統(tǒng)框架： 防火墻是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。本防火墻軟件主要是安裝在Linux服務器上，保護WEB服務器不被非法用戶攻擊，主要是保護類似CC攻擊，檢查并過濾那些極消費服務器資源的請求。防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施，是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。 防火墻系統(tǒng)結構圖：防火墻 HTTP請求 防火墻系統(tǒng) HTTP響應 TCP連接Intranet主機瀏覽器 服務器防火墻功能模塊InternetCGIApache web 服務器2.5 技術路線： 2.5.1 網絡黑、白名單功能網絡訪問白名單。受控的程序，不進入黑白名單的檢查；不受控的程序，進入黑白名單的檢查，在白名單內的程序放行，否則阻止。 2.5.2 網絡端口監(jiān)控 工作在應用層的服務程序首先和驅動程序創(chuàng)建的信息設備建立連接，獲得句柄，調用DeviceIoControl和驅動程序進行通信，發(fā)送控制碼，調用相應的內核中的處理函數。此函數遍歷監(jiān)聽hash表，由表頭指針找到hash表，從listen_entry結構中獲取協(xié)議、地址、端口信息。然后通過listen_entry結構中保存的地址對象的信息，找到對應ote_entry結構中保留的此連接對應的pid信息。最后,返回應用層的時候，把剛才獲得的協(xié)議、地址、端口信息和對應的pid信息存入listen_nfo結構中，并由pid得到對應的進程名pname。 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制只有以下四個條件全部符合，才能匹配規(guī)則的基于五元組方面的控制:1.請求的源IP地址和地址掩碼進行與運算等于規(guī)則的源IP 地址和地址掩碼進行與運算；2.請求的目的IP 地址和地址掩碼進行與運算等于規(guī)則目的IP地址和地址掩碼進行與運算；3.規(guī)則的源端口號為0，或者規(guī)則的源端口號不為0，規(guī)則的源端口2為0，且請求的源端口號要和規(guī)則的源端口號相等?；蛘撸?guī)則的源端口號不為0，規(guī)則的源端口2也不為0，但是請求的源端口號要在規(guī)則的源端口號和規(guī)則的源端口號2之間。4.規(guī)則的目的端口號為0，或者 目的端口號不為0，但是規(guī)則的端口2為0，且請求的目的端口號要與規(guī)則的目的端口號相等。或者，規(guī)則的目的端口號不為0，規(guī)則的目的端口2也不為0，但是請求的目的端口號要在規(guī)則的目的端口號和規(guī)則的目的端口2之間。 2.5.4 IP過濾簡單的黑名單白名單的IP過濾功能對于某些惡意的IP攻擊已無法達到很好的防護，這種防護功能無法濾除IP持續(xù)對端口發(fā)送連接請求請求。只能通過特殊的IP防護功能進行防護，同一個IP若在時間x內 連接y次則在時間z內屏蔽此IP。1. 自行設置x、y、z。2. 客戶向守護進程發(fā)出訪問WEB站點的請求3. 守護進程一直監(jiān)聽相應的端口等待客戶請求4. 當收到請求時記錄下客戶的IP，同時計算出在時間x內該IP的訪問次數5. 若在時間x內該IP的訪問次數小于y次則允許客戶直接訪問并檢索高速緩存。6. 若在高速緩存中發(fā)現客戶所需信息則將客戶所需要的目標返回給客戶7. 若沒有在高速緩存中發(fā)現客戶所需信息則連接web服務器8. 獲取客戶所需要的目標返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標返回給客戶。9. 結束后關閉系統(tǒng)。10. 若在時間x內該IP的訪問次數大于或等于y次則時間z內屏蔽該IP。、流程圖： 返 回 發(fā)送請求 用 戶 時間Z內屏蔽該IP 返 回 信 息 用 戶 信 息 大于 或者 等于 X時間內 Y 小于Y 客戶 記錄IP 守護進程有相應信息高速緩存訪問次數無相應信息連接請求 2.5.5 URL過濾通過部署URL過濾，我們可以利用第三方公司的服務從終端用戶過濾掉惡意或不恰當的互聯(lián)網流量。除了可以簡單的開啟或關閉過濾功能外，我們也可以為特定的網站和用戶開放這些內容或者站點。但是過濾只是對數據包內容進行檢查，并按照防火墻的策略進行過濾，它沒有去檢查實際的目的地址。因此只要我們先通過 nslookup（nslookup是NT、2000中連接DNS服務器，查詢域名信息的一個非常有用的命令）獲取我們需要控制的網址的地址，把這個地址定義成一個具體對象。1. 自行設置x、y、z。2. RL對數據把內容進行檢查。3. 通過nslookup獲取客戶的IP地址。4. 記錄下該客戶的IP，同時計算出在時間x內該IP的訪問次數5. 若在時間x內該IP的訪問次數小于y次則允許客戶直接訪問并檢索高速緩存。6. 若在高速緩存中發(fā)現客戶所需信息則將客戶所需要的目標返回給客戶7. 若沒有在高速緩存中發(fā)現客戶所需信息則連接web服務器8. 獲取客戶所需要的目標返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標返回給客戶。9. 結束后關閉系統(tǒng)。10. 若在時間x內該IP的訪問次數大于或等于y次則時間z內屏蔽該IP。流程圖:客 戶守護進程驗證碼錯誤驗證碼正確發(fā)驗證碼高速緩存有相關信息無相應信息連接請求發(fā)送請求返回客戶信息返回客戶信息回發(fā)驗證碼2.5.6 HTTP保護功能若以惡意軟件持續(xù)向端口發(fā)送請求時，簡單的防火墻功能無法識別該請求是客戶請求還是惡意軟件的攻擊。因此對打開了HTTP保護時，每IP第一次請求HTTP信息時生成一個隨機驗證碼并回發(fā)給客戶，若是惡意軟件攻擊是無法自行發(fā)回驗證碼的。因此當守護進程收到正確的隨機驗證碼時則證明是客戶請求，允許訪問并轉向到原來請求的網站， 并在一定時間內允許此IP直接訪問。1. 客戶向守護進程發(fā)出訪問WEB站點的請求2. 守護進程一直監(jiān)聽相應的端口等待客戶請求3. 當守護進程受到客戶請求是時生成一隨機驗證碼并回發(fā)給客戶端同時屏蔽該客戶請求。4. 在一定時間內，若客戶發(fā)回驗證碼則在一定時間內允許客戶直接訪問并檢索高速緩存。5. 若在高速緩存中發(fā)現客戶所需信息則將客戶所需要的目標返回給客戶6. 若沒有在高速緩存中發(fā)現客戶所需信息則連接web服務器7. 獲取客戶所需要的目標返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標返回給客戶。8. 結束后關閉系統(tǒng)。9. 在一定時間內，若客戶對隨機驗證碼沒有相應的回應而只是不停地像守護進程發(fā)出WEB站點的進程，則在一定時間內禁止該客戶訪問并屏蔽該客戶向守護進程發(fā)出的訪問請求。10.