我整理的投标书.docx

hope工作室 杭州汇文教育咨询有限公司——Http深度检测防火墙方案投标书 hope工作室目 录一、公司介绍以及在本项目中的优势 21.1 公司介绍 21.2 公司在本项目中的优势 2二、项目技术方案 32.1 开发背景 32.2 功能特色 32.3 平台搭建 32.4 系统框架 42.5 技术路线 4 2.5.1 网络黑、白名单功能...................................................................... 4 2.5.2 网络端口监控 ................................................................................ 4 2.5.3 基于源IP、目的IP、源端口、目的端口、协议的控制............... 2.5.4 IP过滤............................................................................. 2.5.5 URL过滤........................................................................ 2.5.6 HTTP保护功能.....................................................................2.5.7 日志功能 6三、项目管理方案 63.1 项目计划成熟度 63.1.1 整体管理 63.1.2 沟通管理 73.1.3 项目的状态周报制度 83.2 质量控制管理 83.2.1 质量基本规划 83.2.2 质量保证 83.2.3 质量检查 93.3 配置管理 93.4 风险控制 9四、项目实施 94.1 实施计划 94.2 所需的资源列表 94.2.1 硬件资源 94.2.2 人力资源 104.2.3 软件资源 104.3 项目报价 10Http深度检测防火墙方案投标书首先，感谢杭州汇文教育咨询有限公司的关注，以及提供我们参与此次项目的机会，让我们工作室的学员们能够更好地积累实战经验，为踏上社会之路做充分的准备。

冀望于此次接触机会及交流过程，能够成为中国计量学院和杭州汇文教育咨询有限公司打开双方合作之门的良好基石在调查和理解Http深度检测防火墙项目的目标，以及对Http深度检测防火墙相关背景分析的基础上，我们查阅了相关的资料并撰写了本文旨在向杭州汇文教育咨询有限公司介绍我们对此项目的思路及相关建议，且展示hope工作室在此次项目上的计划、开发与创新能力1、 公司介绍以及在本项目中的优势1.1 公司介绍｜公司名称｜ hope工作室｜地 址｜汇文计量班 ｜所有制类别｜ 股份制｜审定企业施工级别｜ ｜平均人数 ｜ 10人｜企业成立于2010年3月，曾获获班内抢答比赛第二名｜ ｜工程师｜4名（包括两名测试工程师两名软件工程师） 本工作室，课堂表现活跃，课下讨论积极，组内气氛容恰每个人对本阶段的c语言典型算法均能熟练运用，在本学校电子设计大赛上本组有三人独立完成了1000+C语言代码量的书写本组分工明确，在ceo的布置下，每个人均能发挥100%的作用，小组内还有每周一次的学术讨论及互帮互助机制，即强带弱，快带慢，以至现在水平较平均且每个人都能独立完成自己的任务，在此次项目中我们深知团队的必要性，这正是我们组的优势所在，组内融洽的气氛无疑能将团队的和谐带入本项目中，并完成这个项目。

我们的理想和目标是：生产出让客户满意的产品1.2 公司在本项目中的优势 二、项目技术方案 2.1 开发背景：现如今在科技大爆炸的时代里，Internet 迅速发展，为我们提供了信息发布、信息检索的平台，但当我们陶醉于在大量资源共享的同时，信息污染、信息破坏这些问题也应运而生为了保护数据及资源的安全性，出现了防火墙这种保护装置可以使Web服务器不被非法用户攻击，检查并过滤那些大量占用消费服务器资源的请求，为用户的数据、资源以及声誉提供了保障 2.2 功能特色：我们现在进行开发的Http深度检测防火墙是基于新的NDIS 6.2来进行的NDIS相比于filter-hook driver，有较大的优势：u filter-hook在网络stack的顶端会跟Internet Connection Sharing (ICS)或其它网络组件冲突u filter-hook基于ipfiltdrv.sys的callback机制，所以依赖ipfiltdrv驱动u firewall-hook driver 不符合防火墙的要求，因为它在网络协议栈中的运行速度过高 而我们基于NDIS6.2平台下来开发的Http深度检测防火墙主要有以下功能：u 黑名单功能；添加、删除及清空黑名单。

u 白名单功能；添加、删除及清空白名单u 端口保护功能u IP过滤u URL功能u HTTP功能u 日志功能利用NDIS-HOOK技术实现的Linux防火墙具有以下特点：u 编程方便、接口简单、思路明确、性能稳定；u 更灵活，可以仅仅截获自己所需要的信息，不需要冗余的代码；u 功能强大，可以截获所有DNIS和TDI函数完成的功能，比标准方式功能欠打很多；u 安全性高，这样截获封包较为底层，不容易被穿透；u 安装简单，方便，快捷 2.3 平台搭建： Linux服务器上NDIS 6.2 2.4 系统框架： 防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限本防火墙软件主要是安装在Linux服务器上，保护WEB服务器不被非法用户攻击，主要是保护类似CC攻击，检查并过滤那些极消费服务器资源的请求防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施，是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。

该计算机流入流出的所有网络通信均要经过此防火墙 防火墙系统结构图：防火墙 HTTP请求 防火墙系统 HTTP响应 TCP连接Intranet主机浏览器 服务器防火墙功能模块InternetCGIApache web 服务器2.5 技术路线： 2.5.1 网络黑、白名单功能网络访问白名单受控的程序，不进入黑白名单的检查；不受控的程序，进入黑白名单的检查，在白名单内的程序放行，否则阻止 2.5.2 网络端口监控 工作在应用层的服务程序首先和驱动程序创建的信息设备建立连接，获得句柄，调用DeviceIoControl和驱动程序进行通信，发送控制码，调用相应的内核中的处理函数此函数遍历监听hash表，由表头指针找到hash表，从listen_entry结构中获取协议、地址、端口信息然后通过listen_entry结构中保存的地址对象的信息，找到对应ote_entry结构中保留的此连接对应的pid信息。

最后,返回应用层的时候，把刚才获得的协议、地址、端口信息和对应的pid信息存入listen_nfo结构中，并由pid得到对应的进程名pname 2.5.3 基于源IP、目的IP、源端口、目的端口、协议的控制只有以下四个条件全部符合，才能匹配规则的基于五元组方面的控制:1.请求的源IP地址和地址掩码进行与运算等于规则的源IP 地址和地址掩码进行与运算；2.请求的目的IP 地址和地址掩码进行与运算等于规则目的IP地址和地址掩码进行与运算；3.规则的源端口号为0，或者规则的源端口号不为0，规则的源端口2为0，且请求的源端口号要和规则的源端口号相等或者，规则的源端口号不为0，规则的源端口2也不为0，但是请求的源端口号要在规则的源端口号和规则的源端口号2之间4.规则的目的端口号为0，或者 目的端口号不为0，但是规则的端口2为0，且请求的目的端口号要与规则的目的端口号相等或者，规则的目的端口号不为0，规则的目的端口2也不为0，但是请求的目的端口号要在规则的目的端口号和规则的目的端口2之间 2.5.4 IP过滤简单的黑名单白名单的IP过滤功能对于某些恶意的IP攻击已无法达到很好的防护，这种防护功能无法滤除IP持续对端口发送连接请求请求。

只能通过特殊的IP防护功能进行防护，同一个IP若在时间x内 连接y次则在时间z内屏蔽此IP1. 自行设置x、y、z2. 客户向守护进程发出访问WEB站点的请求3. 守护进程一直监听相应的端口等待客户请求4. 当收到请求时记录下客户的IP，同时计算出在时间x内该IP的访问次数5. 若在时间x内该IP的访问次数小于y次则允许客户直接访问并检索高速缓存6. 若在高速缓存中发现客户所需信息则将客户所需要的目标返回给客户7. 若没有在高速缓存中发现客户所需信息则连接web服务器8. 获取客户所需要的目标返回给客户，同时更新能高速缓存，之后直接从高速缓存中将客户所需的目标返回给客户9. 结束后关闭系统10. 若在时间x内该IP的访问次数大于或等于y次则时间z内屏蔽该IP流程图： 返 回 发送请求 用 户 时间Z内屏蔽该IP 返 回 信 息 用 户 信 息 大于 或者 。