可以认真研究一下王艳平的《windows程序设计》，看完之后，随便看看防火墙的原理，就可以编写防火墙软件了。

另外，可以去这里找找有没有电子版本的。
http://www.xfocus.net/

谢谢楼上的大哥，这本书小弟正在研读~~

C++或c讲述的我还没听过，你这只要知道防火墙不防内网只防外网（但也有例外）就够了。
防火墙的布置有边界防火墙和节点防火墙。

　　防火墙问题，是信息安全中的一个重大问题。其中主要是访问控制机制在起作用。

一、给网外来的访问请求定性。
　　外网要求访问内网的资源。

二、给网内来的访问请求定性。
　　内网要求访问外网的资源。

　　网络的产生和发展有几个原因：
１、共享资源。
２、通信。
３、资源的不对称性。每个网站都有它需要获取的资源。

三、防火墙本身的设计，需要保证网络本身的功能和性能要求。比如，跨防火墙的访问，是通过规则的匹配实现的，这需要大量的时间。

四、防火墙的过滤机制。
比如，划定访问许可的某网络的ＩＰ地址范围。

五、防火墙同时安装有向内和向外的协议处理机机制。
　　防火墙能够保证所在的协议体系结构层次上的跨网络的访问。


六、防火墙系统所能处理的协议，能够跟随网络系统的升级而升级。

七、防火墙系统能够打开尽可能多的ＩＰ地址和端口。

八、防火墙系统能够处理访问控制机制的许多问题。

九、防火墙可以是纯软件、纯硬件的、软硬件结合的。主要是针对协议的分析和处理机机制。

　　一、基于规则的访问控制机制。

　　二、保存和利用访问历史记录。

　　三、结合到ＩＤＳ（入侵检测机制）。

　　四、产生式规则的问题。

１、１９４３年，ＰＯＳＴ发现了：所有的数学公式和定理，都可以表示成如ＩＦ……ＴＨＥＮ……，即“如果……，那么……”的形式。
同时，也证明了ＰＯＳＴ产生式规则，具有和ＴＵＲＩＮＧ图灵机等效的功能。
２、产生式规则，ＩＦ用于左部，ＴＨＥＮ用于右部。左部为条件，右部为动作。
３、新的一条事实Ｆ２，被应用时，就与规则库中的所有规则逐条匹配。如果此事实Ｆ２与规则ＲＦ２的左部匹配时，就触发这条规则。这条规则就被点火。
４、例如，点火了一条规则，则此规则的右部，被触发放置到事实集中。再逐次地点火。
５、直到规则库中再没有可被点火的规则。

　　五、规则有动态性。
例如，可以将新的访问机制，设计成新的规则，从而实现新的过滤或屏蔽掉某些向内或者向外的访问。

　　六、从外网来的访问数据包，必须是通过建立在防火墙系统上的协议处理机，经过其进行规则匹配后，才能访问相应的ＩＰ地址和端口。这里会有相应的各种协议处理机。

　　七、从内网向外的访问，其要访问的源地址被禁止，就同样无法访问外网的资源。

　　

　　防火墙系统涉及的协议问题：

　　一、主要有应用层的、传输层的、网络层的、数据链路层、物理层的协议数据。

　　二、都必须与ＴＣＰ／ＩＰ协议紧密结合。

　　三、不是每层都可以很容易用一种ＩＤＥ进行设计和编程，来处理相关的协议的。

　　四、ＩＮＴＥＲＮＥＴ方面，都会涉及到ＮＡＴ（网络地址转换）问题。

　　五、应用层向下，层层封装。物理层向上，层层解包。

　　六、一般标准的协议数据，其设计目的，就是为了获得资源，对话，共享资源。

　　七、例如，在应用层层面上，需要获得文件资源和一定的计算资源，一般可设计特定的协议。发出这类协议数据包时，由上往下，封装，加上传输层需要的包头，直到物理层加上物理层需要的包头。

　　八、所谓协议，简单地说，就是一种广义的指令，对端之间合作完成某种操作。实现对网络及资源的管理。

NDIS

　　目的是为了防止非授权的访问，包括外网对内网，和内对网的访问。

　　因为非授权的访问，也就是非法的访问会造成“网络资源”（具体待分析）安全性的破坏。

　　防火墙的禁止操作有：

１、禁止外部某个“用户集合”访问内部的某个目录和某个文件。

　　用户集合，指某个ＩＰ地址集合，或某个ＩＰ地址内的用户名集合。

　　内部网络资源，通常在服务器上，或者是有服务器功能的程序所控制之下，一般是以文件、目录、远程进程、分布式进程的形式存在。

　　针对不同的网络协议层，用户集合有不同的内容。ＩＰ协议处理机看到的是３２位的ＩＰ地址。

　　防火墙中，通过定义许可的ＩＰ地址信息来允许外部的访问，也就是允许某些ＩＰ地址的计算机及程序的集合，来获取内网的资源。

２、虽然禁止内网访问外部资源的操作看起来很像，也是对如ＩＰ协议的源地址和目的地址进行限制，但应该具体处理有很多变数。

３、隔断一些试探的连接。例如，可以让百度之类的搜索网站无法取到内网的网页。

４、更简单地说，让一些数据包无法通过，或者过了一部分，无法过其他的部分。

５、对外部要取出发往的资源的操作的合法性，则无法确定。也就是识别通过防火墙的资料是否合法，对资料本身进行识别。

６、光是识别ＩＰ地址，是很简单的事情，也比较绝对化。

７、防火墙主要内容就是访问控制的中介。

８、缓冲作用。

９、防火墙有不同的设计方式，所处的平台也不同。

１０、ＤＭＺ非军事区和堡垒主机的目的，是划分安全区域吧。

１１、根据访问行为，设置多级“缓冲区”，如何？


　　防火墙安全性的主要问题有：

１、完成内网信息的完整性，这种完整性，是种整体的完整性。

２、保密性。和加密技术的保密性不同。

３、会带来延迟。

４、也是协议处理机，也可受到攻击。

５、防火墙的行为规则，也可被进行分析。特别是，当它采用“接收即响应”机制时。

６、防火墙的缺陷：让尽可能多的内部用户访问尽可能多的资源，这是原则吧。同时，允许尽量少的外部用户访问尽可能少的内部资源。

　　最简单的解决办法是加密和认证。



７、ＩＰ地址可能是合法的，但访问操作是复杂的读写，甚至是要求远程的执行。这中间可能是复杂的过程，每步过程的安全性几乎不可控。

　　这种关于“过程”的控制，应该很复杂。

８、再考虑一下所处的环境：内外网的交互可能非常频繁，带宽非常高。

　　简单地屏蔽ＩＰ地址，是很容易的。但同样有问题。反过来，在防火墙的规则集中，只定义许可的ＩＰ地址集。

　　简单地屏蔽ＩＰ地址的防火墙，相当于一个ＦＩＬＴＥＲ过滤器。

９、“用户集合”是动态的，资源是动态增减的。至少内网用户总要想法获取新的资源。



　　防火墙可以看作一个过滤器集合。

　　模拟电子里，有“滤高通低，滤直通交”。对直流来说，是直流电阻太大，如电容器，只有高压击穿，否则不会有电流通过。而对于交流，通过电压的传递，同样能够把电能传递到对端。

　　过滤器集合的设计，需要一定的指导原则。虽然，一般就是基于访问控制规则之上搭建的系统。


　　

还是谢谢了，尽管作用不怎么大，有点文不对题~~