我整理的投標(biāo)書

1、hope工作室 杭州匯文教育咨詢有限公司Http深度檢測防火墻方案投標(biāo)書hope工作室目 錄TOC o 1-3 h z u HYPERLINK l _Toc261298073 一、公司介紹以及在本項目中的優(yōu)勢 PAGEREF _Toc261298073 h 2 HYPERLINK l _Toc261298074 1.1 公司介紹 PAGEREF _Toc261298074 h 2 HYPERLINK l _Toc261298075 1.2 公司在本項目中的優(yōu)勢 PAGEREF _Toc261298075 h 2 HYPERLINK l _Toc261298076 二、項目技術(shù)方案 PAGERE

2、F _Toc261298076 h 3 HYPERLINK l _Toc261298077 2.1 開發(fā)背景 PAGEREF _Toc261298077 h 3 HYPERLINK l _Toc261298078 2.2 功能特色 PAGEREF _Toc261298078 h 3 HYPERLINK l _Toc261298079 2.3 平臺搭建 PAGEREF _Toc261298079 h 3 HYPERLINK l _Toc261298080 2.4 系統(tǒng)框架 PAGEREF _Toc261298080 h 4 HYPERLINK l _Toc261298081 2.5 技術(shù)路線 P

3、AGEREF _Toc261298081 h 4 HYPERLINK l _Toc261298082 2.5.1 網(wǎng)絡(luò)黑、白名單功能 PAGEREF _Toc261298082 h 4 HYPERLINK l _Toc261298083 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 PAGEREF _Toc261298083 h 4 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制2.5.4 IP過濾2.5.5 URL過濾2.5.6HTTP保護(hù)功能 HYPERLINK l _Toc261298084 2.5.7 日志功能 PAGEREF _Toc261298084 h 6 HYPERLINK l _

4、Toc261298085 三、項目管理方案 PAGEREF _Toc261298085 h 6 HYPERLINK l _Toc261298086 3.1 項目計劃成熟度 PAGEREF _Toc261298086 h 6 HYPERLINK l _Toc261298087 3.1.1 整體管理 PAGEREF _Toc261298087 h 6 HYPERLINK l _Toc261298088 3.1.2 溝通管理 PAGEREF _Toc261298088 h 7 HYPERLINK l _Toc261298089 3.1.3 項目的狀態(tài)周報制度 PAGEREF _Toc26129808

5、9 h 8 HYPERLINK l _Toc261298090 3.2 質(zhì)量控制管理 PAGEREF _Toc261298090 h 8 HYPERLINK l _Toc261298091 3.2.1 質(zhì)量基本規(guī)劃 PAGEREF _Toc261298091 h 8 HYPERLINK l _Toc261298092 3.2.2 質(zhì)量保證 PAGEREF _Toc261298092 h 8 HYPERLINK l _Toc261298093 3.2.3 質(zhì)量檢查 PAGEREF _Toc261298093 h 9 HYPERLINK l _Toc261298094 3.3 配置管理 PAGER

6、EF _Toc261298094 h 9 HYPERLINK l _Toc261298095 3.4 風(fēng)險控制 PAGEREF _Toc261298095 h 9 HYPERLINK l _Toc261298096 四、項目實施 PAGEREF _Toc261298096 h 9 HYPERLINK l _Toc261298097 4.1 實施計劃 PAGEREF _Toc261298097 h 9 HYPERLINK l _Toc261298098 4.2 所需的資源列表 PAGEREF _Toc261298098 h 9 HYPERLINK l _Toc261298099 4.2.1 硬件

7、資源 PAGEREF _Toc261298099 h 9 HYPERLINK l _Toc261298100 4.2.2 人力資源 PAGEREF _Toc261298100 h 10 HYPERLINK l _Toc261298101 4.2.3 軟件資源 PAGEREF _Toc261298101 h 10 HYPERLINK l _Toc261298102 4.3 項目報價 PAGEREF _Toc261298102 h 10Http深度檢測防火墻方案投標(biāo)書首先，感謝杭州匯文教育咨詢有限公司的關(guān)注，以及提供我們參與此次項目的機(jī)會，讓我們工作室的學(xué)員們能夠更好地積累實戰(zhàn)經(jīng)驗，為踏上社會之路

8、做充分的準(zhǔn)備。冀望于此次接觸機(jī)會及交流過程，能夠成為中國計量學(xué)院和杭州匯文教育咨詢有限公司打開雙方合作之門的良好基石。在調(diào)查和理解Http深度檢測防火墻項目的目標(biāo)，以及對Http深度檢測防火墻相關(guān)背景分析的基礎(chǔ)上，我們查閱了相關(guān)的資料并撰寫了本文。旨在向杭州匯文教育咨詢有限公司介紹我們對此項目的思路及相關(guān)建議，且展示hope工作室在此次項目上的計劃、開發(fā)與創(chuàng)新能力。公司介紹以及在本項目中的優(yōu)勢1.1 公司介紹公司名稱 hope工作室地 址匯文計量班 所有制類別 股份制審定企業(yè)施工級別 平均人數(shù) 10人企業(yè)成立于2010年3月，曾獲獲班內(nèi)搶答比賽第二名 工程師4名（包括兩名測試工程師兩名軟件工程

9、師）本工作室，課堂表現(xiàn)活躍，課下討論積極，組內(nèi)氣氛容恰。每個人對本階段的c語言典型算法均能熟練運(yùn)用，在本學(xué)校電子設(shè)計大賽上本組有三人獨(dú)立完成了1000+C語言代碼量的書寫。本組分工明確，在ceo的布置下，每個人均能發(fā)揮100%的作用，小組內(nèi)還有每周一次的學(xué)術(shù)討論及互幫互助機(jī)制，即強(qiáng)帶弱，快帶慢，以至現(xiàn)在水平較平均且每個人都能獨(dú)立完成自己的任務(wù)，在此次項目中我們深知團(tuán)隊的必要性，這正是我們組的優(yōu)勢所在，組內(nèi)融洽的氣氛無疑能將團(tuán)隊的和諧帶入本項目中，并完成這個項目。我們的理想和目標(biāo)是：生產(chǎn)出讓客戶滿意的產(chǎn)品。1.2公司在本項目中的優(yōu)勢 二、項目技術(shù)方案 2.1 開發(fā)背景：現(xiàn)如今在科技大爆炸的時代里

10、，Internet 迅速發(fā)展，為我們提供了信息發(fā)布、信息檢索的平臺，但當(dāng)我們陶醉于在大量資源共享的同時，信息污染、信息破壞這些問題也應(yīng)運(yùn)而生。為了保護(hù)數(shù)據(jù)及資源的安全性，出現(xiàn)了防火墻。這種保護(hù)裝置可以使Web服務(wù)器不被非法用戶攻擊，檢查并過濾那些大量占用消費(fèi)服務(wù)器資源的請求，為用戶的數(shù)據(jù)、資源以及聲譽(yù)提供了保障。 2.2 功能特色：我們現(xiàn)在進(jìn)行開發(fā)的Http深度檢測防火墻是基于新的NDIS 6.2來進(jìn)行的。NDIS相比于filter-hook driver，有較大的優(yōu)勢：filter-hook在網(wǎng)絡(luò)stack的頂端會跟Internet Connection Sharing (ICS)或其它網(wǎng)絡(luò)

11、組件沖突。filter-hook基于ipfiltdrv.sys的callback機(jī)制，所以依賴ipfiltdrv驅(qū)動。firewall-hook driver 不符合防火墻的要求，因為它在網(wǎng)絡(luò)協(xié)議棧中的運(yùn)行速度過高。而我們基于NDIS6.2平臺下來開發(fā)的Http深度檢測防火墻主要有以下功能：黑名單功能；添加、刪除及清空黑名單。白名單功能；添加、刪除及清空白名單。端口保護(hù)功能。IP過濾URL功能HTTP功能日志功能利用NDIS-HOOK技術(shù)實現(xiàn)的Linux防火墻具有以下特點：編程方便、接口簡單、思路明確、性能穩(wěn)定；更靈活，可以僅僅截獲自己所需要的信息，不需要冗余的代碼；功能強(qiáng)大，可以截獲所有DN

12、IS和TDI函數(shù)完成的功能，比標(biāo)準(zhǔn)方式功能欠打很多；安全性高，這樣截獲封包較為底層，不容易被穿透；安裝簡單，方便，快捷。 2.3 平臺搭建：Linux服務(wù)器上NDIS 6.2 2.4 系統(tǒng)框架：防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機(jī)與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。本防火墻軟件主要是安裝在Linux服務(wù)器上，保護(hù)WEB服務(wù)器不被非法用戶攻擊，主要是保護(hù)類似CC攻擊，檢查并過濾那些極消費(fèi)服務(wù)器資源的請求。防火墻技術(shù)，最初是針對 Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施，是一種計算機(jī)硬件和軟件的結(jié)合，使Interne

13、t與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻系統(tǒng)結(jié)構(gòu)圖：防火墻 HTTP請求 防火墻系統(tǒng) HTTP響應(yīng) TCP連接Intranet主機(jī)瀏覽器 服務(wù)器防火墻功能模塊InternetCGIApache web 服務(wù)器 HTTP請求 防火墻系統(tǒng) HTTP響應(yīng) TCP連接Intranet主機(jī)瀏覽器

14、服務(wù)器防火墻功能模塊InternetCGIApache web 服務(wù)器2.5 技術(shù)路線： 2.5.1 網(wǎng)絡(luò)黑、白名單功能網(wǎng)絡(luò)訪問白名單。受控的程序，不進(jìn)入黑白名單的檢查；不受控的程序，進(jìn)入黑白名單的檢查，在白名單內(nèi)的程序放行，否則阻止。 2.5.2 網(wǎng)絡(luò)端口監(jiān)控 工作在應(yīng)用層的服務(wù)程序首先和驅(qū)動程序創(chuàng)建的信息設(shè)備建立連接，獲得句柄，調(diào)用DeviceIoControl和驅(qū)動程序進(jìn)行通信，發(fā)送控制碼，調(diào)用相應(yīng)的內(nèi)核中的處理函數(shù)。此函數(shù)遍歷監(jiān)聽hash表，由表頭指針找到hash表，從listen_entry結(jié)構(gòu)中獲取協(xié)議、地址、端口信息。然后通過listen_entry結(jié)構(gòu)中保存的地址對象的信息，找

15、到對應(yīng)ote_entry結(jié)構(gòu)中保留的此連接對應(yīng)的pid信息。最后,返回應(yīng)用層的時候，把剛才獲得的協(xié)議、地址、端口信息和對應(yīng)的pid信息存入listen_nfo結(jié)構(gòu)中，并由pid得到對應(yīng)的進(jìn)程名pname。 2.5.3 基于源IP、目的IP、源端口、目的端口、協(xié)議的控制只有以下四個條件全部符合，才能匹配規(guī)則的基于五元組方面的控制:1.請求的源IP地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則的源IP 地址和地址掩碼進(jìn)行與運(yùn)算；2.請求的目的IP 地址和地址掩碼進(jìn)行與運(yùn)算等于規(guī)則目的IP地址和地址掩碼進(jìn)行與運(yùn)算；3.規(guī)則的源端口號為0，或者規(guī)則的源端口號不為0，規(guī)則的源端口2為0，且請求的源端口號要和規(guī)則的源端

16、口號相等?；蛘?，規(guī)則的源端口號不為0，規(guī)則的源端口2也不為0，但是請求的源端口號要在規(guī)則的源端口號和規(guī)則的源端口號2之間。4.規(guī)則的目的端口號為0，或者 目的端口號不為0，但是規(guī)則的端口2為0，且請求的目的端口號要與規(guī)則的目的端口號相等?；蛘?，規(guī)則的目的端口號不為0，規(guī)則的目的端口2也不為0，但是請求的目的端口號要在規(guī)則的目的端口號和規(guī)則的目的端口2之間。 2.5.4 IP過濾簡單的黑名單白名單的IP過濾功能對于某些惡意的IP攻擊已無法達(dá)到很好的防護(hù)，這種防護(hù)功能無法濾除IP持續(xù)對端口發(fā)送連接請求請求。只能通過特殊的IP防護(hù)功能進(jìn)行防護(hù)，同一個IP若在時間x內(nèi)連接y次則在時間z內(nèi)屏蔽此IP。自

17、行設(shè)置x、y、z?？蛻粝蚴刈o(hù)進(jìn)程發(fā)出訪問WEB站點的請求守護(hù)進(jìn)程一直監(jiān)聽相應(yīng)的端口等待客戶請求當(dāng)收到請求時記錄下客戶的IP，同時計算出在時間x內(nèi)該IP的訪問次數(shù)若在時間x內(nèi)該IP的訪問次數(shù)小于y次則允許客戶直接訪問并檢索高速緩存。若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶若沒有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器獲取客戶所需要的目標(biāo)返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。結(jié)束后關(guān)閉系統(tǒng)。若在時間x內(nèi)該IP的訪問次數(shù)大于或等于y次則時間z內(nèi)屏蔽該IP。、流程圖： 返 回 發(fā)送請求 用 戶 時間Z內(nèi)屏蔽該IP 返 回 信 息 用

18、戶 信 息 大于 或者 等于 X時間內(nèi) Y 小于Y 客戶 客戶 記錄IP 記錄IP 守護(hù)進(jìn)程有相應(yīng)信息有相應(yīng)信息高速緩存訪問次數(shù)高速緩存訪問次數(shù)無相應(yīng)信息無相應(yīng)信息連接請求連接請求 2.5.5 URL過濾通過部署URL過濾，我們可以利用第三方公司的服務(wù)從終端用戶過濾掉惡意或不恰當(dāng)?shù)幕ヂ?lián)網(wǎng)流量。除了可以簡單的開啟或關(guān)閉過濾功能外，我們也可以為特定的網(wǎng)站和用戶開放這些內(nèi)容或者站點。但是過濾只是對數(shù)據(jù)包內(nèi)容進(jìn)行檢查，并按照防火墻的策略進(jìn)行過濾，它沒有去檢查實際的目的地址。因此只要我們先通過 nslookup（nslookup是NT、2000中連接DNS服務(wù)器，查詢域名信息的一個非常有用的命令）獲取我

19、們需要控制的網(wǎng)址的地址，把這個地址定義成一個具體對象。自行設(shè)置x、y、z。RL對數(shù)據(jù)把內(nèi)容進(jìn)行檢查。通過nslookup獲取客戶的IP地址。記錄下該客戶的IP，同時計算出在時間x內(nèi)該IP的訪問次數(shù)若在時間x內(nèi)該IP的訪問次數(shù)小于y次則允許客戶直接訪問并檢索高速緩存。若在高速緩存中發(fā)現(xiàn)客戶所需信息則將客戶所需要的目標(biāo)返回給客戶若沒有在高速緩存中發(fā)現(xiàn)客戶所需信息則連接web服務(wù)器獲取客戶所需要的目標(biāo)返回給客戶，同時更新能高速緩存，之后直接從高速緩存中將客戶所需的目標(biāo)返回給客戶。結(jié)束后關(guān)閉系統(tǒng)。若在時間x內(nèi)該IP的訪問次數(shù)大于或等于y次則時間z內(nèi)屏蔽該IP。流程圖:客 戶客 戶守護(hù)進(jìn)程驗證碼錯誤驗證碼正確發(fā)驗證碼高速緩存有相關(guān)信息無相應(yīng)信息連接請求發(fā)送請求返回客戶信息返回客戶信息回發(fā)驗證碼2.5.6 HTTP保護(hù)功能若以惡意軟件持續(xù)向端口發(fā)送請求時，簡單的防火墻功能無法識別該請求是客戶請求還是惡意軟件的攻擊。因此對打開了HTTP保護(hù)時，每IP第一次請求HTTP信息時生成一個隨機(jī)驗證碼并回發(fā)給客戶，若是惡意軟件攻擊是無法自行發(fā)回驗證碼的。