Iptables图形管理工具的设计与实现论文

分类号： 10621007)6007：公 开 编 号：2003031307成 都 信 息 工 程 学 院学 位 论 文形管理工具的设计与实现论文作者姓名： 廖 超申请学位专业： 计算机科学与技术申请学位类别： 工学学士指导教师姓名（职称）： 索 望论文提交日期： 2007年06月09 日形管理工具的设计与实现摘 要火墙是 台下的包过滤防火墙，火墙不仅提供了强大的数据包过滤能力，而且还提供转发，射等功能，是个人及企业级是，由于种种原因，就要求用户必须熟悉 种繁杂的命令，为用户的使用带来了很多不便。本文设计并实现了一个基于 形管理工具，通过友好的配置界面，简化了 火墙的管理配置程序，更方便用户对火墙的使用。本工具采用 式，通过 置界面，用户可远程修改相关配置文件，从而到达配置 目的。整个工具由添加/删除规则，插入/替换规则，状态机制，关闭/启动/重启防火墙等几个模块组成。用户只需登陆到配置页面，通过简单的鼠标操作就可以轻松完成防火墙的基本配置工作。关键词：火墙；过滤to to as It to is by is 论文总页数：22页1引 言.火墙基本理论. 防火墙技术分类. 包过滤防火墙工作原理.火墙简介.件.件. 作原理.则表简介.工作流程.统概述. 系统摘要. 系统设计模式.发环境及工具. 开发环境. 开发工具.统构成.系统基本构成.功能模块构成.除规则功能模块.火墙关闭/启动功能模块.火墙重启模块.则链模块.统设计.前台主页设计.基本设置功能的设计.状态机制功能设计.作功能设计.置文件/规则链读取功能设计.基本设置及高级功能实现方法.作功能实现.读取防火墙配置文件/规则链的实现.所遇问题.解决办法. 页 共 22 页1 引 言随着网络技术的进步，特别是90年代以来络安全问题越来越引起人们的重视，网络安全技术也成为计算机网络方向的研究热点。网络安全技术在人们的现实生活中有着广泛的应用，特别是近几年电子商务的蓬勃发展，电子银行，在线交易等已经成为人们日常生活的重要组成部分，这就要求网络服务提供相应的安全措施，以保障广大用户的权益。火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙是在内部和外部网之间实施安全防范的系统。它可以被认为是一种访问控制机制，用于确定那些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。火墙是组成 台下的包过滤防火墙，它是集成在 核 的。火墙不仅提供了强大的数据包过滤能力，而且还提供转发，是因为它的功能强大，一直是个人及企业级 户构建网络安全平台的首选工具。但是，由于技术上的原因，直是使用命令模式配置防火墙，它在一定程度上有较高的灵活性，但同时也要求用户必须熟悉 以，本系统立足初级用户，使用 B/火墙的管理模式，用户只需要登陆到防火墙的管理页面便可以轻松配置防火墙。这样简化了低了配置门槛，适合初学者使用。本系统采用的是基于务器模式，在单网卡模式下实现台台用系统主要由以下模块组成：添加规则模块，删除规则模块，插入规则模块，替换规则模块，防火墙启动/关闭模块，防火墙重启模块，读取取 防火墙基本理论火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙是在内部和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定那些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。它可以根据网络传输的类型决定 是否可以传进或传出企业网。防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则，按规则的先后顺序以及每条规则的条件项进行比较，直到满足某一条规则的条件，并做出规则的动作（停下或向前转发），第 2 页 共 22 页从而来保护网络的安全。P 地址的校验。在互联网上，所有信息都是以包的形式传输的，信息包中包含发送方的收方的 口，路状态等信息读出，并按照预先设置的过滤原则过滤信息包，那些不符合规定的保证网络系统的安全，这是一种基于网络层的安全技术，对于应用层的黑客行为是无能为力的。理技术代理服务器接收客户请求后会检查验证其合法性，如果合法，代理服务器向一台客户机取回所需的信息在转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被封锁住。这一点对系统安全是非常重要的，只有那些被认为“可信赖的”服务才允许通过防火墙结构对外部来讲是不可见的。态监视技术这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下，才用抽取相关数据的方法对网络通信的各个层次实行监测，并作为安全决策的依据。监视模块多种网络协议和应用协议，可以方便地实现应用和服务的扩充。22 包过滤防火墙工作原理包过滤防火墙一般有一个包检查模块，该模块在操作系统或路由器转发包之前将拦截所有的数据包，并对其进行验证，查看时候满足过滤规则。它的具体工作过程如下：（1） 数据包从外网传送到防火墙后，防火墙将在数据包转发给包检查模块进行处理。（2） 首先与第一个过滤规则比较。（3） 如果与第一个模块相同，则对它进行审核，判断是否转发该数据包，这时审核结果是转发数据包，则将数据包发送到则就将它丢弃。（4） 如果与第一个过滤规则不同，则接着与第二个规则相比较，如果相同则对它进行审核，过程与（3）相同。（5） 如果与第二个过滤规则不同，则继续与下一个过滤规则比较，直到与所有过滤规则比较完成，要是不满足所有过滤规则，就按默认规则处理。第 3 页 共 22 火墙是组成 台下的包过滤防火墙，它是集成在 核 的。火墙不仅提供了强大的数据包过滤能力，而且还提供转发，射等功能；不仅如此 可以配置成状态检测型防火墙，它会检查数据的源和目的 和目的端口、流入数据包的顺序号、状态，并利用 而使整个过滤过程相互关联，这可以提高信息包过滤的效率和速度。过滤防火墙是由两个组件构成，一个是核组件），一个是户组件)。件集成在 的特性假如到内核中并不需要重新启动内核。这样，可以通过简单地构造一个内核模块来实现网络新特性的扩展，给底层网络特性扩展带来了极大的便利，使更多从事网络底层研发人员能够集中精力实现新的网络特性。户和开发人员可以将其内建在包含了控制据规则所处理的则被分组放在链中，从而使内核对来自某些源、前往某些目的地或具有某些协议类型的信息包处置方法，如完成信息包的处理、控制和过滤等工作。件件是一个简洁强大的工具，它被称为用户空间，用户通过它来插入、删除和修改规则链中的规则，这些规则告诉内核中的则表简介的工作原理是对据规则表中的规则对规则链是由 核进行维护。在 1）主要用于过滤数据包，该表根据系统管理员预定义的一组规则过第 4 页 共 22 页滤符合条件的数据包。对与防火墙而言，主要是利用在 2）表可以实现一对一、一对多、多对多等 作，是使用该表实现共享上网的功能。包含了3）主要用于对指定的包进行修改，因为某些特殊应用可能需要去改写数据包的一些传输特性，例如更改数据包的 。仅包含 工作流程当一个数据包到达主机后，按照下图的处理过程对数据包进行处理。当主机收到数据包后首先会去匹配 果找到相应的匹配规则会按照规则处理，然后再判断是否是发往本机的数据包，如果是发往本机的数据包，则将数据包送往 果不是发往本机的，则将数据包发往 做相应处理。若是本机产生的数据包，则会先匹配 系统摘要。它可以提供友好的用户管理界面，让用户在不用输入任何的命令的情况下修改 相应规则，关闭/启动及重启 可以查看系统可以在台向加、删除、替换和插入规则，并可以实现基于状态检测防火墙的规则。统设计模式本系统采用 B/浏览器/服务器模式。这种模式可以节约客户端资源，客户端在不用安装任何软件的条件下即可使用该系统。该系统由以下四大部分组成：置主页，功能界面，客户端表单验证， 5 页 共 22 页页判断用户输入数据是否合法关配置文件用户数据执行结果非法数据 合法数据图 1 系统业务流程图4 发环境 表 1 开发环境表类型 软件 版本4浏览器 发工具包（缩写。它是一种用于构建在有的包括一组这些构建 页 共 22 页这些应用程序能够与各种用服务器、浏览器和开发工具共同工作。且生成些代码块被后些字节码由释执行。是于有了参与和支持，最新的 范总能在 得到体现。仅仅是一个 器，它也具有传统的 务器的功能：处理 是与的处理静态们可以将种集成只需要修改一下发工具一个非常优秀的集成开发环境,它旨在简化用于多操作系统软件工具的开发过程,可以用于管理多种开发任务,其中包括测试、性能调整以及程序调试等,而且还可以集成来自多个供应商的第三方应用程序开发工具。通过集成大量的插件,支持各种不同的应用。一个开放源代码的、基于 可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，带了一个标准的插件集，包括 发工具（5 统基本构成本系统主要由系统以提高代码的利用率，它封装了一些本系统重复使用的 ：读文件操作；实现一些基本的简单的功能；用户在修改防火墙设置时，用于被 7 页 共 22 据用户输入的源/目的 ，协议类型，链名等，修改 配置文件，将用户添加的规则放到 户在完成添加后，重启防火墙，所添加的规则即可生效。除规则功能模块本功能模块是为用户删除 火墙相应规则设计的。用户需要在前台 面中，输入欲删除的 火墙规则编号及规则链名，即可完成删除规则的操作。用户在完成删除后，重启防火墙后规则生效。户可以利用此功能模块，向 的规则在用户指定插入位置之前。用户完成操作后，重启防火墙，新规则生效。户在前面页面中输入欲替换的规则编号及替换后的规则，就可以替换 户完成操作后，重启防火墙后，规则生效。户可以根据台提供的选项完成相关配置工作，相关配置会自动写入 置文件中。配置这种状态型防火墙可以提高 工作效率。同样，用户完成配置后，重启防火墙后，规则生效。火墙关闭/启动功能模块本功能模块完成动操作。用户只需在前台点击相应按钮，就可实现防火墙的关闭/重启操作。火墙重启模块本功能模块完成防火墙的重启功能。当用户配置完防火墙后，可以通过此模块功能重新启动防火墙，实现加载新规则功能。第 8 页 共 22 则链模块本功能完成在前台读取防火墙配置文件/规则链的功能。方便用户随时查看防火墙的工作状态及确定配置规则是否生效。6 台主页设计图 2 系统主页前台主页是配置防火墙的主要页面。前台主页包括：基本设置，高级和连接。基本设置中有添加、删除、替换和插入规则功能；高级中有状态机制，通过状态机制的相关选项可以把防火墙配置成有状态机制的防火墙；作栏中有关闭、启动、重启和删除所有规则的选项，每个选项完成相关操作；页面最上面有配置文件，则链和帮助的连接，通过这些连接，用户可以轻松查看防火墙的相关状态。第 9 页 共 22 本设置功能的设计图 3 基本功能页面基本设置中包括：插入、替换、删除、添加功能。四个功能的基本输入基本相同用户输入如下： 表 2 基本功能输入数据表类 别 合 法 值 初始值链 名 于 1的整数 空协议类型 定的协议编号/协议名 空 址 合法 分十进制表示 空端 口 号 整数表示，系统所有端口 空动 作 改 置文件，完成上述功能。第 10 页 共 22 态机制功能设计图 4 状态功能页面状态机制可以通过相关选项把 态机制页面选项如下：表 3 状态机制输入数据表类 别 合 法 值 初 始 值链 名 于 1的整数 空协议类型 定的协议编号/协议名 空 址 合法 络号，点分十进制表示 空端 口 号 整数表示，系统所有端口 空状 态 火墙的关闭/启动/重启/清空规则链功能。每个功能有一个连接，（如主页图所示），点击连接后即可完成相关操作。上述功能是通过 11 页 共 22 则链读取功能设计则链读取是通过主页页面上的相关连接完成的。在系统后台读取通过 本设置及高级功能实现方法基本设置及高级功能实现方法主要是通过对置文件的修改完成相关操作。修改，先完成 置文件的备份操作，然后删除 置文件，再将备份文件读入程序中进行相应修改，修改完成后在原 后删除备份文件。成添加规则功能）中s2= );f=);/文件f1=);/份文件f,;);)!=;c=0=;=;=;=;=;=;=;=;=;第 12 页 共 22 页=;),););%/判断协议、源/目的端口是否为空/协议、源端口不能同时为空/协议、目的端口不能同时为空/判断协议、源/目的端口是否为空/协议、源端口不能同时为空第 19 页 共 22 页/协议、目的端口不能同时为空% | !=+ -m ;i=0;i5;i+)if(i)（2）用户输入规则时某几项可能为空，而配置文件中不能写入空值。用数组解决此类问题，将用户输入的数据保存到相关数组中，再判断数组是否为空值。i=0;i5;i+)/(i)i=i+i+ ;s2=s2+i; + +统测试本系统是用黑盒测试方法进行系统功能测试的，在测试过程中用了边界测试，负面测试等测试方法，测试用例覆盖全部功能。 根据系统开发文档中的功第 20 页 共 22 页能说明书，系统能实现全部功能，并能正常工作。但在负面测试下，系统不能判断一些非法字符，如：址可以是任意十进制数而不是点分十进制数，协议一栏可以输入任意字符串如, 论防火墙是现代网络世界不可缺少的组成部分，通过防火墙实现高效访问控制机制可以降低安全威胁。本系统通过B/现了单网卡模式下的用友好的图形化界面，降低了 合初级用户使用。不仅如此，通过这种模式用户可以在远程通过浏览器访问防火墙配置页面，提高了工作效率。因此，本系统到达了简化高了工作效率，具有较高的使用价值。参考文献1 械工业出版社,2006。2 民邮电出版社,2006。3 王俊伟,准教程M华大学出版社,2006。4二版