我整理的投標(biāo)書.doc

hope工作室 杭州匯文教育咨詢有限公司Http深度檢測防火墻方案投標(biāo)書 hope工作室目 錄一、公司介紹以及在本項(xiàng)目中的優(yōu)勢21.1 公司介紹21.2 公司在本項(xiàng)目中的優(yōu)勢2二、項(xiàng)目技術(shù)方案32.1 開發(fā)背景32.2 功能特色32.3 平臺搭建32.4 系統(tǒng)框架42.5 技術(shù)路線4 2.5.1 網(wǎng)絡(luò)黑、白名單功能.4 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 .4 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制. 2.5.4 IP過濾. 2.5.5 URL過濾. 2.5.6 HTTP保護(hù)功能.2.5.7 日志功能6三、項(xiàng)目管理方案63.1 項(xiàng)目計(jì)劃成熟度63.1.1 整體管理63.1.2 溝通管理73.1.3 項(xiàng)目的狀態(tài)周報制度83.2 質(zhì)量控制管理83.2.1 質(zhì)量基本規(guī)劃83.2.2 質(zhì)量保證83.2.3 質(zhì)量檢查93.3 配置管理93.4 風(fēng)險控制9四、項(xiàng)目實(shí)施94.1 實(shí)施計(jì)劃94.2 所需的資源列表94.2.1 硬件資源94.2.2 人力資源104.2.3 軟件資源104.3 項(xiàng)目報價10Http深度檢測防火墻方案投標(biāo)書首先，感謝杭州匯文教育咨詢有限公司的關(guān)注，以及提供我們參與此次項(xiàng)目的機(jī)會，讓我們工作室的學(xué)員們能夠更好地積累實(shí)戰(zhàn)經(jīng)驗(yàn)，為踏上社會之路做充分的準(zhǔn)備。冀望于此次接觸機(jī)會及交流過程，能夠成為中國計(jì)量學(xué)院和杭州匯文教育咨詢有限公司打開雙方合作之門的良好基石。在調(diào)查和理解Http深度檢測防火墻項(xiàng)目的目標(biāo)，以及對Http深度檢測防火墻相關(guān)背景分析的基礎(chǔ)上，我們查閱了相關(guān)的資料并撰寫了本文。旨在向杭州匯文教育咨詢有限公司介紹我們對此項(xiàng)目的思路及相關(guān)建議，且展示hope工作室在此次項(xiàng)目上的計(jì)劃、開發(fā)與創(chuàng)新能力。1、 公司介紹以及在本項(xiàng)目中的優(yōu)勢1.1 公司介紹公司名稱 hope工作室地 址匯文計(jì)量班 所有制類別 股份制審定企業(yè)施工級別 平均人數(shù) 10人企業(yè)成立于2010年3月，曾獲獲班內(nèi)搶答比賽第二名 工程師4名（包括兩名測試工程師兩名軟件工程師） 本工作室，課堂表現(xiàn)活躍，課下討論積極，組內(nèi)氣氛容恰。每個人對本階段的c語言典型算法均能熟練運(yùn)用，在本學(xué)校電子設(shè)計(jì)大賽上本組有三人獨(dú)立完成了1000+C語言代碼量的書寫。本組分工明確，在ceo的布置下，每個人均能發(fā)揮100%的作用，小組內(nèi)還有每周一次的學(xué)術(shù)討論及互幫互助機(jī)制，即強(qiáng)帶弱，快帶慢，以至現(xiàn)在水平較平均且每個人都能獨(dú)立完成自己的任務(wù)，在此次項(xiàng)目中我們深知團(tuán)隊(duì)的必要性，這正是我們組的優(yōu)勢所在，組內(nèi)融洽的氣氛無疑能將團(tuán)隊(duì)的和諧帶入本項(xiàng)目中，并完成這個項(xiàng)目。我們的理想和目標(biāo)是：生產(chǎn)出讓客戶滿意的產(chǎn)品。1.2 公司在本項(xiàng)目中的優(yōu)勢 二、項(xiàng)目技術(shù)方案 2.1 開發(fā)背景：現(xiàn)如今在科技大爆炸的時代里，Internet 迅速發(fā)展，為我們提供了信息發(fā)布、信息檢索的平臺，但當(dāng)我們陶醉于在大量資源共享的同時，信息污染、信息破壞這些問題也應(yīng)運(yùn)而生。為了保護(hù)數(shù)據(jù)及資源的安全性，出現(xiàn)了防火墻。這種保護(hù)裝置可以使Web服務(wù)器不被非法用戶攻擊，檢查并過濾那些大量占用消費(fèi)服務(wù)器資源的請求，為用戶的數(shù)據(jù)、資源以及聲譽(yù)提供了保障。 2.2 功能特色：我們現(xiàn)在進(jìn)行開發(fā)的Http深度檢測防火墻是基于新的NDIS 6.2來進(jìn)行的。NDIS相比于filter-hook driver，有較大的優(yōu)勢：u filter-hook在網(wǎng)絡(luò)stack的頂端會跟Internet Connection Sharing (ICS)或其它網(wǎng)絡(luò)組件沖突。u filter-hook基于ipfiltdrv.sys的callback機(jī)制，所以依賴ipfiltdrv驅(qū)動。u firewall-hook driver 不符合防火墻的要求，因?yàn)樗诰W(wǎng)絡(luò)協(xié)議棧中的運(yùn)行速度過高。而我們基于NDIS6.2平臺下來開發(fā)的Http深度檢測防火墻主要有以下功能：u 黑名單功能；添加、刪除及清空黑名單。u 白名單功能；添加、刪除及清空白名單。u 端口保護(hù)功能。u IP過濾u URL功能u HTTP功能u 日志功能利用NDIS-HOOK技術(shù)實(shí)現(xiàn)的Linux防火墻具有以下特點(diǎn)：u 編程方便、接口簡單、思路明確、性能穩(wěn)定；u 更靈活，可以僅僅截獲自己所需要的信息，不需要冗余的代碼；u 功能強(qiáng)大，可以截獲所有DNIS和TDI函數(shù)完成的功能，比標(biāo)準(zhǔn)方式功能欠打很多；u 安全性高，這樣截獲封包較為底層，不容易被穿透；u 安裝簡單，方便，快捷。 2.3 平臺搭建： Linux服務(wù)器上NDIS 6.2 2.4 系統(tǒng)框架： 防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。本防火墻軟件主要是安裝在Linux服務(wù)器上，保護(hù)WEB服務(wù)器不被非法用戶攻擊，主要是保護(hù)類似CC攻擊，檢查并過濾那些極消費(fèi)服務(wù)器資源的請求。防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施，是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因?yàn)樗鼉r格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。 防火墻系統(tǒng)結(jié)構(gòu)圖：防火墻 HTTP請求 防火墻系統(tǒng) HTTP響應(yīng) TCP連接Intranet主機(jī)瀏覽器 服務(wù)器防火墻功能模塊InternetCGIApache web 服務(wù)器2.5 技術(shù)路線： 2.5.1 網(wǎng)絡(luò)黑、白名單功能網(wǎng)絡(luò)訪問白名單。受控的程序，不進(jìn)入黑白名單的檢查；不受控的程序，進(jìn)入黑白名單的檢查，在白名單內(nèi)的程序放行，否則阻止。 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 工作在應(yīng)用層的服務(wù)程序首先和驅(qū)動程序創(chuàng)建的信息設(shè)備建立連接，獲得句柄，調(diào)用DeviceIoControl和驅(qū)動程序進(jìn)行通信，發(fā)送控制碼，調(diào)用相應(yīng)的內(nèi)核中的處理函數(shù)。此函數(shù)遍歷監(jiān)聽hash表，由表頭指針找到hash表，從listen_entry結(jié)構(gòu)中獲取協(xié)議、地址、端口信息。然后通過listen_entry結(jié)構(gòu)中保存的地址對象的信息，找到對應(yīng)ote_entry結(jié)構(gòu)中保留的此連接對應(yīng)的pid信息。最后,返回應(yīng)用層的時候，把剛才獲得的協(xié)議、地址、端口信息和對應(yīng)的pid信息存入listen_nfo結(jié)構(gòu)中，并由pid得到對應(yīng)的進(jìn)程名pname。 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制只有以下四個條件全部符合，才能匹配規(guī)則的基于五元組方面的控制:1.請求的源IP地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則的源IP 地址和地址掩碼進(jìn)行與運(yùn)算；2.請求的目的IP 地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則目的IP地址和地址掩碼進(jìn)行與運(yùn)算；3.規(guī)則的源端口號為0，或者規(guī)則的源端口號不為0，規(guī)則的源端口2為0，且請求的源端口號要和規(guī)則的源端口號相等?；蛘?，規(guī)則的源端口號不為0，規(guī)則的源端口2也不為0，但是請求的源端口號要在規(guī)則的源端口號和規(guī)則的源端口號2之間。4.規(guī)則的目的端口號為0，或者 目的端口號不為0，但是規(guī)則的端口2為0，且請求的目的端口號要與規(guī)則的目的端口號相等?；蛘撸?guī)則的目的端口號不為0，規(guī)則的目的端口2也不為0，但是請求的目的端口號要在規(guī)則的目的端口號和規(guī)則的目的端口2之間。 2.5.4 IP過濾簡單的黑名單白名單的IP過濾功能對于某些惡意的IP攻擊已無法達(dá)到很好的防護(hù)，這種防護(hù)功能無法濾除IP持續(xù)對端口發(fā)送連接請求請求。只能通過特殊的IP防護(hù)功能進(jìn)行防護(hù)，同一個IP若在時間x內(nèi) 連接y次則在時間z內(nèi)屏蔽此IP。1. 自行設(shè)置x、y、z。2. 客戶向守護(hù)進(jìn)程發(fā)出訪問WEB站點(diǎn)的請求3. 守護(hù)進(jìn)程一直監(jiān)聽相應(yīng)的端口等待客戶請求4. 當(dāng)收到請求時記錄下客戶的IP，同時計(jì)算出在時間x內(nèi)該IP的訪問次數(shù)5. 若在時間x內(nèi)該IP的訪問次數(shù)小于y次則允許客戶直接訪問并檢索高速緩存。6. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶7. 若沒有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器8. 獲取客戶所需要的目標(biāo)返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。9. 結(jié)束后關(guān)閉系統(tǒng)。10. 若在時間x內(nèi)該IP的訪問次數(shù)大于或等于y次則時間z內(nèi)屏蔽該IP。、流程圖： 返 回 發(fā)送請求 用 戶 時間Z內(nèi)屏蔽該IP 返 回 信 息 用 戶 信 息 大于 或者 等于 X時間內(nèi) Y 小于Y 客戶 記錄IP 守護(hù)進(jìn)程有相應(yīng)信息高速緩存訪問次數(shù)無相應(yīng)信息連接請求 2.5.5 URL過濾通過部署URL過濾，我們可以利用第三方公司的服務(wù)從終端用戶過濾掉惡意或不恰當(dāng)?shù)幕ヂ?lián)網(wǎng)流量。除了可以簡單的開啟或關(guān)閉過濾功能外，我們也可以為特定的網(wǎng)站和用戶開放這些內(nèi)容或者站點(diǎn)。但是過濾只是對數(shù)據(jù)包內(nèi)容進(jìn)行檢查，并按照防火墻的策略進(jìn)行過濾，它沒有去檢查實(shí)際的目的地址。因此只要我們先通過 nslookup（nslookup是NT、2000中連接DNS服務(wù)器，查詢域名信息的一個非常有用的命令）獲取我們需要控制的網(wǎng)址的地址，把這個地址定義成一個具體對象。1. 自行設(shè)置x、y、z。2. RL對數(shù)據(jù)把內(nèi)容進(jìn)行檢查。3. 通過nslookup獲取客戶的IP地址。4. 記錄下該客戶的IP，同時計(jì)算出在時間x內(nèi)該IP的訪問次數(shù)5. 若在時間x內(nèi)該IP的訪問次數(shù)小于y次則允許客戶直接訪問并檢索高速緩存。6. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶7. 若沒有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器8. 獲取客戶所需要的目標(biāo)返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。9. 結(jié)束后關(guān)閉系統(tǒng)。10. 若在時間x內(nèi)該IP的訪問次數(shù)大于或等于y次則時間z內(nèi)屏蔽該IP。流程圖:客 戶守護(hù)進(jìn)程驗(yàn)證碼錯誤驗(yàn)證碼正確發(fā)驗(yàn)證碼高速緩存有相關(guān)信息無相應(yīng)信息連接請求發(fā)送請求返回客戶信息返回客戶信息回發(fā)驗(yàn)證碼2.5.6 HTTP保護(hù)功能若以惡意軟件持續(xù)向端口發(fā)送請求時，簡單的防火墻功能無法識別該請求是客戶請求還是惡意軟件的攻擊。因此對打開了HTTP保護(hù)時，每IP第一次請求HTTP信息時生成一個隨機(jī)驗(yàn)證碼并回發(fā)給客戶，若是惡意軟件攻擊是無法自行發(fā)回驗(yàn)證碼的。因此當(dāng)守護(hù)進(jìn)程收到正確的隨機(jī)驗(yàn)證碼時則證明是客戶請求，允許訪問并轉(zhuǎn)向到原來請求的網(wǎng)站， 并在一定時間內(nèi)允許此IP直接訪問。1. 客戶向守護(hù)進(jìn)程發(fā)出訪問WEB站點(diǎn)的請求2. 守護(hù)進(jìn)程一直監(jiān)聽相應(yīng)的端口等待客戶請求3. 當(dāng)守護(hù)進(jìn)程受到客戶請求是時生成一隨機(jī)驗(yàn)證碼并回發(fā)給客戶端同時屏蔽該客戶請求。4. 在一定時間內(nèi)，若客戶發(fā)回驗(yàn)證碼則在一定時間內(nèi)允許客戶直接訪問并檢索高速緩存。5. 若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶6. 若沒有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器7. 獲取客戶所需要的目標(biāo)返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。8. 結(jié)束后關(guān)閉系統(tǒng)。9. 在一定時間內(nèi)，若客戶對隨機(jī)驗(yàn)證碼沒有相應(yīng)的回應(yīng)而只是不停地像守護(hù)進(jìn)程發(fā)出WEB站點(diǎn)的進(jìn)程，則在一定時間內(nèi)禁止該客戶訪問并屏蔽該客戶向守護(hù)進(jìn)程發(fā)出的訪問請求。10.