【正文】 Iptables is configured by inputting mands, which means that users must be familiar to the mands. So, the paper designs and implements Iptables interfacial management tool which bases on website. The user can configure it simpler and more convenient by friendly graphics interfacial. This system uses Browser/Server mode to configure Iptables by modifying iptbales configuration files on web. The system is constituted by the following modules: the rule of addition, the rule of deleting, and the rule of insertion, the rule of replacing, the mechanism of stating, shutdown firewall, start firewall, and restarting firewall. The users can configure Iptables firewall just by login the web and clicking mouse. Key words: Iptables Firewall。本文設(shè)計并實現(xiàn)了 一個基于 Web 的Iptables 圖形管理工具，通過友好的配置界面， 簡化了 Iptables 防火墻的管理配置程序，更方便用戶對 Iptables 防火墻的使用。但是，由于種種原因， Iptables一直是使用命令模式管理配置防火墻，這就要求用戶必須熟悉 Iptables 各種繁雜的命令，為用戶的使用帶來了很多不便。用戶只需登陸到配置頁面，通過簡單的鼠標(biāo)操作就可以輕松完成防火墻的基本配置工作。網(wǎng)絡(luò)安全技術(shù)在人們的現(xiàn)實生活中有著廣泛的應(yīng)用，特別是近幾年電子商務(wù)的蓬勃發(fā)展，電子銀行，在線交易等已經(jīng)成為人們?nèi)粘Ｉ畹闹匾M成 部分，這就要求網(wǎng)絡(luò)服務(wù)提供相應(yīng)的安全措施，以保障廣大用戶的權(quán)益 。 filter/Iptables 防火墻是組成 Linux 平臺下的包過濾防火墻，它是集成在 Linux 內(nèi)核 中的。所以，本 系統(tǒng) 立足初級用戶，使用 B/S 模式作為 Iptables 防火墻的管理模式，用戶只需要登陸到防火墻的管理頁面便可以輕松配置防火墻。本系統(tǒng)主要由以下模塊組成：添加規(guī)則模塊，刪除規(guī)則模塊，插入規(guī)則模塊，替換規(guī)則模塊，防火墻啟動 /關(guān)閉模塊，防火墻重啟模塊， 讀取 Iptables 配置文件模塊，讀取 Iptabels 規(guī)則鏈模塊。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定 IP 包是否可以傳進 或傳出企業(yè)網(wǎng)。在互聯(lián)網(wǎng)上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的 IP 地址，接收方的 IP 地址，TCP 端口， TCP 鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)置的過濾原則過濾信息包，那些不符合規(guī)定的 IP 地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全，這是一種基于網(wǎng)絡(luò)層的安全技術(shù)，對于應(yīng)用層的黑客行為是無能為力的。這一點對系統(tǒng)安全是非常重要的，只有那 些被認為 “ 可信賴的 ” 服務(wù)才允許通過防火墻結(jié)構(gòu)對外部來講是不可見的。 2． 2 包過濾防火墻工作原理 包過濾防火墻一般有一個包檢查模塊，該模塊在操作系統(tǒng)或路由器轉(zhuǎn)發(fā)包之前將攔截所有的數(shù)據(jù)包，并對其進行驗證，查看時候滿足過濾規(guī)則。 （ 4） 如果與第一個過濾規(guī)則不同，則接著與第二個規(guī)則相比較，如果相同則對它進行審核，過程與（ 3）相同。 Netfilter/Iptables 包過濾防火墻是由兩個組件構(gòu)成，一個是 filter（內(nèi)核組件），一個是 Iptables(用戶組件 )。新的特性假如到內(nèi)核中并不需要重新啟動內(nèi)核。根據(jù)規(guī)則所處理的 IP 包的類型，規(guī)則被分組放在鏈中，從而使內(nèi)核對來自某些源、前往某些目的 地或具有某些協(xié)議類型的信息包處置方法，如完成信息包的處理、控制和過濾等工作。在 Iptables中包含以下規(guī)則表： （ 1） Filter 表 Filter 表主要用于過濾數(shù)據(jù)包，該表根據(jù)系統(tǒng)管理員預(yù)定義的一組規(guī)則過第 4 頁 共 22 頁 濾符合條件的數(shù) 據(jù)包。 （ 3） Mangle 表 Mangle 表主要用于對指定的包進行修改，因為某些特殊應(yīng)用可能需要去改寫數(shù)據(jù)包的一些傳輸特性，例如更改數(shù)據(jù)包的 TTL 和 TOS 等。若是本機產(chǎn)生的數(shù)據(jù)包，則會先匹配 OUTPUT鏈的相應(yīng)規(guī)則后再做處理。 系統(tǒng)設(shè)計模式 本系統(tǒng)采用 B/S 開發(fā)模式，即瀏覽器 /服務(wù)器模式。它是一種用于構(gòu)建在 Java 平臺上發(fā)布的應(yīng)用程序， Applet 和組件的開發(fā)環(huán)境和運行環(huán)境。 JS Iptables 主頁 判斷用戶輸入數(shù)據(jù)是否合法 iptables 相關(guān)配置文件 用戶數(shù)據(jù)執(zhí)行結(jié)果 非法數(shù)據(jù) 合法數(shù)據(jù) 第 6 頁 共 22 頁 P技術(shù)設(shè)計的目的是使得構(gòu)造基于 Web的應(yīng) 用程序更加容易和快捷，而這些應(yīng)用程序能夠與各種 Web服務(wù)器、應(yīng)用服務(wù)器、瀏覽器和開發(fā)工具共同工作。由于有了 Sun 的參與和支持，最新的 Servlet 和 Jsp 規(guī)范總能在 Tomcat 中得到體現(xiàn) 。這種集成只需要修改一下 Apache 和 Tomcat 的配置文件即可。就其本身而言，它只是一個框架和一組服務(wù)，用于通過插件組件構(gòu)建開發(fā)環(huán)境。 第 7 頁 共 22 頁 添加規(guī)則功能模塊 本功能模塊主要是為添加 Iptables 防火墻規(guī)則所用，根據(jù)用戶輸入的源 /目的 IP，源 /目的端口號，協(xié)議類型，鏈名等，修改 Iptables 的配置文件，將用戶添加的規(guī)則放到 Iptables 配置文件中相應(yīng)規(guī)則鏈的第一個。 用戶在完成刪除后，重啟防火墻后規(guī)則生效。 替換規(guī)則功能模塊 本功能模塊是為用戶替換 Iptables 防火墻中已存在的規(guī)則設(shè)計的。用戶可以根據(jù)JSP 前臺提供的選項完成相關(guān)配置工作，相關(guān)配置會自動寫入 Iptables 配置文件中。用戶只需在前臺點擊相應(yīng)按鈕，就可實現(xiàn)防火墻的關(guān)閉 /重啟操作。方便用戶隨時查看防火墻的工作狀態(tài)及確定配置規(guī)則是否生效。 第 9 頁 共 22 頁 圖 3 基本功能頁面 基本設(shè)置中包括：插入、替換、刪除、添加功能。每個功能有一個連接，（如主頁圖所示），點擊連接后即可完成相關(guān)操作。 7 系統(tǒng)實現(xiàn) 基本設(shè)置及高級功能實現(xiàn)方法主要是通過對 Iptables 配置文件的修改完成相關(guān)操作。 File f=new File(/etc/sysconfig/Iptables)。 input. seek(0)。 lable[1]=d 。 table=(chain_name)。 array[3]=(scrport)。 ary4=array[4].equals()。amp。i++) { if(array[i].equals()) { continue。i5。 } } } s1=A +table+ +()+ j +action。 (x)。 (\n)。 (\n)。 ()。 } RandomAccessFile inn=new RandomAccessFile(f,rw)。 try { while((s0=())!=null) { x0=()。 } (增加成功 ,請返回 )。 ()。 （完成清空規(guī)則命令） Java 程序片段： try { //調(diào)用命令 Process P=().exec(Iptables F)。 File tfile=new File(/boot/tmp)。 ()。//重新創(chuàng)建 iptabels 配置文件 } else { (不能刪除源文件 !)。 while ((tmpline=())!=null) { (tmpline)。 ()。 Java Bean 可以減少系統(tǒng)的代碼量，讓頁面和邏輯實現(xiàn)分離，有利于系統(tǒng)的維護。 import 。 private StringTokenizer token。 } //設(shè)置文件路徑 public void setPath(String filePath) { path=filePath。 } //關(guān)閉文件 public void fileClose() throws IOException { ()。 } if (currentRecord==null) { returnInt=1。 } //以字符串的形式返回整個記錄 public String returnRecord() { return currentRecord。 lable[2]=p 。 array[0]=(scrip)。 array[4]=(detport)。% //判斷協(xié)議、源 /目的端口是否為空 %if(ary2 amp。 (!ary4)){% //協(xié)議、目的端口不能同時為空 jsp:forward page=// % } else if(!ary3 || !ary4) //源 /目的端口不同時為空的情況 { array[2]=array[2]+ m tcp 。 } （ 2）用戶輸入規(guī)則時某幾項可能為空，而配置文件中不能寫入空值。i++) //array 數(shù)組為得到的用戶輸入數(shù)據(jù) { //lable 數(shù)組存儲的是對應(yīng)用戶輸入數(shù)據(jù)的參數(shù) if(array[i].equals()) { continue。 根據(jù)系統(tǒng)開發(fā)文檔中的功第 20 頁 共 22 頁 能說明書，系統(tǒng)能實現(xiàn)全部功能，并能正常工作。 不僅如此，通過這種模式用戶可以在遠程通過瀏覽器訪問防火墻配置頁面，提高了工作效率。 [3] 王俊偉 ,吳俊海 .Linux標(biāo)準(zhǔn)教程 [M].北京： 清華大學(xué)出版社 ,2020。 [7] 黃雅玲 ,楊宏文 .JavaScript 教學(xué)范本 [M].北京： 中國鐵道出版社 ,2020。除非另有說明，本文的工作是原始性工作。 （ 4）學(xué)校可允許學(xué)位論文被查閱或借