【文章內(nèi)容簡介】 Netfilter 組件 Netfilter 組件稱為內(nèi)核空間，它集成在 Linux 的內(nèi)核中。 Netfilter 是一種內(nèi)核中用于擴展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層框架。 Netfilter 的設(shè)計思想是生成一個模塊結(jié)構(gòu)使之能夠比較容易的擴展。新的特性假如到內(nèi)核中并不需要重新啟動內(nèi)核。這樣，可以通過簡單地構(gòu)造一個內(nèi)核模塊來實現(xiàn)網(wǎng)絡(luò)新特性的擴展，給底層網(wǎng)絡(luò)特性擴展帶來了極大的便利，使更多從事網(wǎng)絡(luò)底層 研發(fā)人員能夠集中精力實現(xiàn)新的網(wǎng)絡(luò)特性。 Netfilter 的目的是為用戶提供一個專門用于包過濾的底層結(jié)構(gòu)，用戶和開發(fā)人員可以將其內(nèi)建在 Linux 內(nèi)核中。 Netfilter 主要有信息包過濾表組成，它包含了控制 IP 包處理的規(guī)則集。根據(jù)規(guī)則所處理的 IP 包的類型，規(guī)則被分組放在鏈中，從而使內(nèi)核對來自某些源、前往某些目的 地或具有某些協(xié)議類型的信息包處置方法，如完成信息包的處理、控制和過濾等工作。 Iptables 組件 Iptables 組件是一個簡潔強大的工具，它被稱為用戶空間，用戶通過它來插入、刪除和修改 規(guī)則鏈中的規(guī)則，這些規(guī)則告訴內(nèi)核中的 filter 組件如何去處理信息包。 Iptables 工作原理 Iptables 規(guī)則表簡介 Iptables 與其他包過濾防火墻一樣，它的工作原理是對 IP 數(shù)據(jù)包和規(guī)則進(jìn)行匹配，根據(jù)規(guī)則表中的規(guī)則對 IP 數(shù)據(jù)包進(jìn)行進(jìn)一步的處理。 Iptables 的規(guī)則表是保存在一個規(guī)則鏈中的，而規(guī)則鏈?zhǔn)怯?Linux 內(nèi)核進(jìn)行維護。在 Iptables中包含以下規(guī)則表： （ 1） Filter 表 Filter 表主要用于過濾數(shù)據(jù)包，該表根據(jù)系統(tǒng)管理員預(yù)定義的一組規(guī)則過第 4 頁 共 22 頁 濾符合條件的數(shù) 據(jù)包。對與防火墻而言，主要是利用在 filter 表中指定的一系列規(guī)則來實現(xiàn)對數(shù)據(jù)包的過濾操作。 （ 2） Nat 表 Nat 表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT，該表可以實現(xiàn)一對一、一對多、多對多等 NAT 工作， Iptables 就是使用該表實現(xiàn)共享上網(wǎng)的功能。 Nat 表包含了PREROUTING 鏈， OUTPUT 鏈，和 POSTROUTING 鏈。 （ 3） Mangle 表 Mangle 表主要用于對指定的包進(jìn)行修改，因為某些特殊應(yīng)用可能需要去改寫數(shù)據(jù)包的一些傳輸特性，例如更改數(shù)據(jù)包的 TTL 和 TOS 等。 Mangle 表僅包含PREROUTING 鏈和 OUTPUT 鏈 。 Iptables 的工作流程 當(dāng)一個數(shù)據(jù)包到達(dá)主機后， iptabels 會按照下圖的處理過程對數(shù)據(jù)包進(jìn)行處理。 當(dāng)主機收到數(shù)據(jù)包后首先會去匹配 mangle 和 nat 表，如果找到相應(yīng)的匹配規(guī)則會按照規(guī)則處理，然后再判斷是否是發(fā)往本機的數(shù)據(jù)包，如果是發(fā)往本機的數(shù)據(jù)包，則將數(shù)據(jù)包送往 INPUT 鏈做相應(yīng)的處理，如果不是發(fā)往本機的，則將數(shù)據(jù)包發(fā)往 FORWARD 鏈做相應(yīng)處理。若是本機產(chǎn)生的數(shù)據(jù)包，則會先匹配 OUTPUT鏈的相應(yīng)規(guī)則后再做處理。 概述 系統(tǒng)摘要 Iptables B/S 管理模式實現(xiàn)是一個通過前臺 WEB 界面管理 單 網(wǎng)卡模式下Iptables 規(guī)則的系統(tǒng)。它可以提供友好的用戶管理界面，讓用戶在不用輸入任何的命令的情況下修改 Iptables 的相應(yīng)規(guī)則，關(guān)閉 /啟動及重啟 Iptables 防火墻，并可以查看 Iptables 相應(yīng)的配置文件及規(guī)則鏈 。本系統(tǒng)可以在 WEB 前臺向Iptables 添加、刪除、替換和插入規(guī)則，并可以實現(xiàn)基于狀態(tài)檢測防火墻的規(guī)則。 系統(tǒng)設(shè)計模式 本系統(tǒng)采用 B/S 開發(fā)模式，即瀏覽器 /服務(wù)器模式。這種模式可以節(jié)約客戶端資源，客戶端在不用安裝任何軟件的條 件下即可使用該系統(tǒng)。該系統(tǒng)由以下四大部分組成： Iptables 配置主頁， Iptabels 各功能界面，客戶端表單驗證，Iptabels 相關(guān)文件及操作 。 第 5 頁 共 22 頁 圖 1 系統(tǒng)業(yè)務(wù)流程圖 4 開發(fā)環(huán)境及 工具 開發(fā)環(huán)境 表 1 開發(fā)環(huán)境表 類型 軟件 版本 OS Linux Red Hat WebServer JDK Tomcat 瀏覽器 Inter Explorer 以上 JDK JDK 是 Java 開發(fā)工具包（ Java Development Kit）的縮寫。它是一種用于構(gòu)建在 Java 平臺上發(fā)布的應(yīng)用程序， Applet 和組件的開發(fā)環(huán)境和運行環(huán)境。 JDK是一切 Java 應(yīng)用程序的基礎(chǔ)，所有的 Java 應(yīng)用程序是構(gòu)建在這個之上的。它包括一組 API 和 JRE（ Java 虛擬機），這些 API 也可以說是一些 Java Class，是構(gòu)建 Java 應(yīng)用程序的基礎(chǔ)，而 Java 虛擬機是運行這些程序的基礎(chǔ)。 JSP JSP技術(shù)為創(chuàng)建顯示動態(tài)生成內(nèi)容的 Web頁面提供了一個簡捷快速的方法。 JS Iptables 主頁 判斷用戶輸入數(shù)據(jù)是否合法 iptables 相關(guān)配置文件 用戶數(shù)據(jù)執(zhí)行結(jié)果 非法數(shù)據(jù) 合法數(shù)據(jù) 第 6 頁 共 22 頁 P技術(shù)設(shè)計的目的是使得構(gòu)造基于 Web的應(yīng) 用程序更加容易和快捷，而這些應(yīng)用程序能夠與各種 Web服務(wù)器、應(yīng)用服務(wù)器、瀏覽器和開發(fā)工具共同工作。 JSP頁面由Web服務(wù)器中的 JSP引擎執(zhí)行 ， JSP引擎接受客戶端對 JSP頁面的請求 ,并且生成 JSP頁面給客戶端的響應(yīng) 。 JSP引擎實際上是把 JSP標(biāo) 簽、 JSP頁中的 Java代碼連同靜態(tài) HTML內(nèi)容都轉(zhuǎn)換為 Java代碼 ,這些代碼塊被 JSP引擎組織到 Java Servlet中 ,然后 Servlet自動把它們編譯成 Java字節(jié)碼 ， 這些字節(jié)碼由 Java虛擬機 (JVM)解釋執(zhí)行 。 Tomcat Tomcat 是一個免費的開源的 Serlvet 容器，它是 Apache 基金會的 Jakarta項目中的一個核心項目，由 Apache， Sun 和其它一些公司及個人共同開發(fā)而成。由于有了 Sun 的參與和支持，最新的 Servlet 和 Jsp 規(guī)范總能在 Tomcat 中得到體現(xiàn) 。 Tomcat 不僅僅是一個 Servlet 容器，它也具有傳統(tǒng)的 Web 服務(wù)器的功能：處理 Html 頁面。但是與 Apache 相比，它的處理靜態(tài) Html 的能力就不如 Apache。我們可以將 Tomcat 和 Apache 集成到一塊，讓 Apache 處理靜態(tài) Html，而 Tomcat處理 Jsp 和 Servlet。這種集成只需要修改一下 Apache 和 Tomcat 的配置文件即可。 開發(fā)工具 Eclipse 是一個非常優(yōu)秀的集成開發(fā)環(huán)境 ,它旨在簡化用于多操作系統(tǒng)軟件工具的開發(fā)過程 ,可以用于管理多種開發(fā)任務(wù) ,其中包括測試、性能調(diào)整以及程序調(diào)試等 ,而且還可以集成來自多個供應(yīng)商的第三方應(yīng)用程序開發(fā)工具。通過集成大量的插件 ,Eclipse 的功能可以不斷擴展 ,以支持各種不同的應(yīng)用。 Eclipse 是一個開放源代碼的、基于 Java 的可擴展開發(fā)平臺。就其本身而言，它只是一個框架和一組服務(wù)，用于通過插件組件構(gòu)建開發(fā)環(huán)境。 幸運的是，Eclipse 附帶了一個標(biāo)準(zhǔn)的插件集，包括 Java 開發(fā)工具（ Java Development Tools， JDT） 。 5 系統(tǒng) 構(gòu)成 本系統(tǒng)主要由系統(tǒng) JSP前臺頁面， Java Bean， Java源代碼， Linux下 Iptables防火墻配置文件組成。 JSP 前臺做用戶交互及數(shù)據(jù)傳遞操作； Java Bean 可以提高代碼的利用率，它封裝了一些本系統(tǒng)重復(fù)使用的 Java 源代碼，如：讀文件操作； Java源代碼是嵌入到 JSP程序中的，它實現(xiàn)一些基本的簡單的功能； Iptabels配置文件， 是用戶在修改防火墻設(shè)置時，用于被 Java 程序修改的。 第 7 頁 共 22 頁 添加規(guī)則功能模塊 本功能模塊主要是為添加 Iptables 防火墻規(guī)則所用，根據(jù)用戶輸入的源 /目的 IP，源 /目的端口號，協(xié)議類型，鏈名等，修改 Iptables 的配置文件，將用戶添加的規(guī)則放到 Iptables 配置文件中相應(yīng)規(guī)則鏈的第一個。用戶在完成添加后，重啟防火墻，所添加的規(guī)則即可生效。 刪除規(guī)則功能模塊 本功能模塊是為用戶刪除 Iptables 防火墻相應(yīng)規(guī)則設(shè)計的。用戶需要在前臺 JSP 頁面中，輸入欲刪除的 Iptables 防火墻規(guī)則編號及規(guī)則鏈名 ， 即可完成刪除規(guī)則的操作。 用戶在完成刪除后，重啟防火墻后規(guī)則生效。 插入規(guī)則功能模塊 本功能模塊是為用戶插入 Iptables 防火墻相應(yīng)規(guī)則設(shè)計的。用戶可以利用此功能模塊，向 Iptables 防火墻插入新的規(guī)則，新的規(guī)則在用戶指定插入位置之前。用戶完成操作后，重啟防火墻，新規(guī)則生效。 替換規(guī)則功能模塊 本功能模塊是為用戶替換 Iptables 防火墻中已存在的規(guī)則設(shè)計的。用戶在前面頁面中輸入欲替換的規(guī)則編號及替換后的規(guī)則，就可以替換 Iptables 中的相應(yīng)規(guī)則。用戶完 成操作后，重啟防火墻后，規(guī)則生效。 狀態(tài)機制功能模塊 本功能模塊可以把 Iptables 配置成基于狀態(tài)檢測的防火墻。用戶可以根據(jù)JSP 前臺提供的選項完成相關(guān)配置工作，相關(guān)配置會自動寫入 Iptables 配置文件中。配置這種狀態(tài)型防火墻可以提高 Iptabels 的工作效率。同樣，用戶完成配置后，重啟防火墻后，規(guī)則生效。 防火墻關(guān)閉 /啟動功能模塊 本功能模塊完成 Iptables 防火墻的關(guān)閉 /啟動操作。用戶只需在前臺點擊相應(yīng)按鈕，就可實現(xiàn)防火墻的關(guān)閉 /重啟操作。 防火墻重啟模塊 本功能 模塊完成防火墻的重啟功能。當(dāng)用戶配置完防火墻后，可以通過此模塊功能重新啟動防火墻，實現(xiàn)加載新規(guī)則功能。 第 8 頁 共 22 頁 讀取防火墻配置文件 /規(guī)則鏈模塊 本功能完成在前臺讀取防火墻配置文件 /規(guī)則鏈的功能。方便用戶隨時查看防火墻的工作狀態(tài)及確定配置規(guī)則是否生效。 6 系統(tǒng)設(shè)計 圖 2 系統(tǒng)主頁 前臺主頁是配置防火墻的主要頁面。前臺主頁包括：基本設(shè)置，高級和Iptables 的連接 ?；驹O(shè)置中有添加、刪除、替換和插入規(guī)則功能；高級中有狀態(tài)機制，通過狀態(tài)機制的相關(guān)選項可以把防火墻配置成有狀態(tài)機制的防火墻；Iptables 操作欄中有關(guān)閉、啟動、重啟和刪除所有規(guī)則的選項，每個選項完成相關(guān)操作；頁面最上面有配置文件， Iptables 規(guī)則鏈和幫助的連接，通過這些連接，用戶可以輕松查看防火墻的相關(guān)狀態(tài)。 第 9 頁 共 22 頁 圖 3 基本功能頁面 基本設(shè)置中包括：插入、替換、刪除、添加功能。四個功能的基本輸入基本相同 用戶輸入如下： 表 2 基本 功能輸入數(shù)據(jù)表 類 別 合 法 值 初始值 鏈 名 INPUT/OUTPUT INPUT 規(guī) 則 ID 大于 1 的整數(shù) 空 協(xié)議類型 Linux 規(guī)定的協(xié)議編號 /協(xié)議名 空 IP 地 址 合法 IP 地址，點分十進(jìn)制表示 空 端 口 號 整數(shù)表示，系統(tǒng)所有端口 空 動 作 ACCEPT/DROP ACCEPT 基本設(shè)置中的相關(guān)功能是通過 Java 程序，修改 Iptabels 配置文件，完成上述功能。 第 10 頁 共 22 頁 圖 4 狀態(tài)功能頁面 狀態(tài)機制可以通過相關(guān)選項把 Iptables 防火