Linux下的防火墙程序研发设计毕业论文.doc

徐州工程学院毕业设计(论文)Linux下的防火墙程序研发设计毕业论文目 录1系统概述11.1研究背景及意义11.2论文总体结构12系统关键技术及介绍22.1防火墙技术简介22.1.1 Linux下的防火墙22.1.2 IPTABLES简介22.1.3 IPTABLES结构22.2 B/S模式和开发平台42.2.1 B/S模式42.2.2开发工具与开发环境的介绍43系统设计63.1防火墙结构设计63.1.1防火墙设计构图63.1.2防火墙设计思想63.2系统数据库设计73.2.1 ER图73.2.2数据表设计93.3前台代码设计123.4后台代码设计134系统实现144.1防火墙管理154.1.1防火墙规则列表154.1.2防火墙规则添加/编辑174.1.3防火墙规则的删移动184.2端口映射管理194.2.1DNAT管理194.2.2SNAT管理214.3常用参数设置IPIP-MAC服务224.3.1IP管理224.3.2 IP mac绑定234.3.3服务管理24结论29致谢30参考文献31附录32附录132附录235391系统概述1.1研究背景及意义随着Internet的迅猛发展，安全问题成为了网络信息传输的头等大事，针对安全问题，我们引入了防火墙的概念，。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，防火墙能够有效的限制外部网络对内部网络的访问，并且对内部网络提供的服务进行映射，从而有效的保护内部网络。对于Internet上的系统，不管是什么情况都要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统100安全，但却是绝对必要的。1.2论文总体结构论文的总体结构如下：第二章是系统关键技术介绍。主要介绍了防火墙原理、数据包结构、B/S模式和开发平台；第三章是系统设计。本章主要介绍了系统的总体设计，包括防火墙规则设计、数据库设计，前台代码设计以及后台代码设计；第四章是系统实现。本章主要展示系统的实现过程，通过系统截图和关键代码说明；最后，对论文进行总结。2系统关键技术及介绍2.1防火墙技术简介2.1.1 Linux下的防火墙Linux提供了一个非常优秀的防火墙工具netfilter/iptabels。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。2.1.2 IPTABLES简介netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序。netfilter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT（地址转换）和数据包的分割等功能。由两个组件netfilter 和 iptables 组成: netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。由两个组件netfilter 和 iptables 组成。 netfilter/iptables从ipchains和ipwadfm（IP防火墙管理）演化而来，功能更加强大。习惯上把netfilter/iptabels简称为iptables。2.1.3 IPTABLES结构iptables包含三个表：filter表、nat表、mangle表。filter表包含以下三个链： INPUT：主要与封包想要进入我们 Linux 本机有关 OUTPUT：主要与我们 Linux 本机所要送出的封包有关 FORWARD：封包转递到后端的计算机中nat表包含以下三个链： PREROUTING：在进行路由判断之前所要进行的规则 POSTROUTING：在进行路由判断之后所要进行的规则 OUTPUT：与发送出去的封包有关以下为IPTABLES示意图:图2-1 IPTABLES示意图图2-2为数据包的结构图：图2-2 数据包结构图2.2 B/S模式和开发平台2.2.1 B/S模式 B/S模式的概念B/S（Browser/Server，浏览器/服务器）模式又称B/S结构。它是随着Internet技术的兴起，对C/S模式应用的扩展。在这种结构下，用户工作界面是通过IE浏览器来实现的。B/S模式最大的好处是运行维护比较简便，能实现不同的人员，从不同的地点，以不同的接入方式（比如LAN, WAN, Internet/Intranet等）访问和操作共同的数据。 B/S与C/S的对比及优势1投入成本比较。B/S结构软件一般只有初期一次性投入成本。对于集团来讲，有利于软件项目控制和避免IT黑洞，而C/S结构的软件则不同，随着应用范围的扩大，投资会连绵不绝。 2硬件投资保护比较。在对已有硬件投资的保护方面，两种结构也是完全不同的。当应用范围扩大，系统负载上升时，C/S结构软件的一般解决方案是购买更高级的中央服务器，原服务器放弃不用，这是由于C/S软件的两层结构造成的，这类软件的服务器程序必须部署在一台计算机上；而B/S结构则不同，随着服务器负载的增加，可以平滑地增加服务器的个数并建立集群服务器系统，然后在各个服务器之间做负载均衡。有效地保护了原有硬件投资。 3企业快速扩张支持上的比较。对于成长中的企业，快速扩张是它的显著特点。对于C/S结构的软件来讲，由于必须同时安装服务器和客户端、建设机房、招聘专业管理人员等，所以无法适应企业快速扩张的特点。而B/S结构软件，只需一次安装，以后只需设立账号、培训即可。2.2.2开发工具与开发环境的介绍 Java语言的特点及优势Java是一种简单的，面向对象的，分布式的，解释型的，健壮安全的，结构中立的，可移植的，性能优异、多线程的动态语言。Java语言的优良特性使得Java应用具有无比的健壮性和可靠性，这也减少了应用系统的维护费用。Java对对象技术的全面支持和Java平台内嵌的API能缩短应用系统的开发时间并降低成本。Java的编译一次，到处可运行的特性使得它能够提供一个随处可用的开放结构和在多平台之间传递信息的低成本方式。 MySQL的介绍MySQL是一个小型关系型数据库管理系统，目前MySQL被广泛地应用在Internet上的中小型网站中。由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，许多中小型网站为了降低网站总体拥有成本而选择了MySQL作为网站数据库。 Eclipse和Tomcat的介绍Eclipse 是一个开放源代码的、基于 Java 的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括 Java 开发工具（Java Development Tools，JDT）。Tomcat 是一个轻量级应用服务器，由于运行时占用的系统资源小，扩展性好，支持负载平衡与邮件服务等优点，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。3系统设计3.1防火墙结构设计3.1.1防火墙设计构图防火墙设置主要包括防火墙管理和端口映射管理，IP管理、IP MAC管理、服务管理为防火墙管理和端口映射管理提供参数图3-1 系统结构防火墙设置防火墙管理新建规则编辑规则删除规则规则位置移动服务管理新建编辑删除IP管理新建编辑删除IP MAC管理新建编辑删除端口映射管理DNAT SNAT新建规则编辑规则删除规则规则位置移动3.1.2防火墙设计思想作为一个防火墙，对于数据包的过滤是必须的。由图1-1可以看出,数据包的经过防火墙的流程为:1.从Nat表的PREROUTING链进入防火墙；2.进行路由判断，路由分析数据包判断目的地址为防火墙本机还是防火墙后面的主机；3.目的地址为防火墙本机，数据包会依次经过Filter表的INPUT链，本地进程处理，FILTER表的OUTPUT链,NAT表的POSTROUTING链，然后送出防火墙。目的地址如果不是本机，则经过Filter表的FORWARD链,NAT表的POSTROUTING链送入后面的主机；经过以上分析，不难看出，Filter的INPUT FORWARD两个链和NAT表的PREROUTING是数据包的必经之路，由于PREROUTING不便于数据包分别控制，那么防火墙的过滤功能由INPUT FORWARD实现，这两个链默认为DROP，即不接受所有的数据包，除了防火墙程序本身必须的端口以外所有的端口都将由界面添加，INPUT链用于保护防火墙，FORWARD用于保护防火墙后面的主机。防火墙的另外一个重要功能就是端口映射，端口映射可以将防火墙后面的主机的地址、端口映射到防火墙主机的任意未使用的端口上面，以此来实现保护后面主机的功能。实现端口映射功能主要是通过NAT表的PREROUTING链和POSTROUTING链来实现，PREROUTING链实现目的地址转换，即DNAT；POSTROUTING链实现源地址转换，即SNAT。通过DNAT、SNAT的合理设置就可以实现端口映射功能和代理上网功能。3.2系统数据库设计本系统采用MySQL数据库。在Mysql数据库中创建enlink数据库，建立6张数据表：firewall、fwdnat、fwsnat、fwip、fwipmac、fwservice本数据库设计时本着相互关联的设计思想设计的，各个表之间通过ID进行关联。3.2.1 ER图(1)firewall防火墙规则表ER图如图3-2所示图3-2 防火墙规则表ER图FirewallIdNameSourceipSourceip2DestipDestipmaskServiceApplicationwebFilterEnableEthinEthoutnumSourcemask2destmask2selectsourceipselectdestipDestip2timeflagtimestarttimestopdays(2)fwdnat DNAT表ER图如图3-3所示action图3-3 防火墙规则表ER图fwdnatIdNameSourceipSourceip2DestipDestipmasksourceservicesourceinterfacewebFilterEnableEthinEthoutnumSourcemask2destmask2selectsourceipselectdestipDestip2timeflagtimestarttimestopdays(3)fwsnat SNAT表ER图如图3-4所示action图3-4 防火墙规则表ER图fwsnatIdNameSourceipSourceip2DestipDestipmasksourceservicesourceinterfacewebFilterEnableEthinEthoutnumSourcemask2destmask2selectsourceipselectdestipDestip2timeflagtimestarttimestopdays(4)fwip IP表ER图如图3-5所示Id图3-5 防火墙规则表ER图fwipnamemaskvirtualipethnum(5)fwipmac IPMAC绑定表ER图如图3-6所示fwipmacidipmac图3-6 防火墙规则表ER图(6)fwservice 服务表ER图如图3-7所示fwserviceicmptypes图3-7 防火墙规则表ER图Idnameprotocolports3.2.2数据表设计(1)Firewall表设计:表3-1 Firewall字段名中文类型&长度&是否为空&主键id序号bigint(20) NOT NULL 主键name名称char(20) NULLsourceip源地址1char(20) NULLsourceip2源地址2char(20) NULLdestip目的地址1char(20) NULLdestmask目的地址2char(20) NULLservice服务char(40) NULLapplication应用char(20) NULLwebFilter过滤表char(1) NULLaction动作char(10) NULLenable是否启用char(1) NULLethin数据进口char(5) NULLnum编号int(10) NULLethout数据出口char(5) NULLsourcemask2源地址子网掩码2char(20) NULLdestmask2目的地址子网掩码2char(20) NULLselectsourceip选择的源地址char(1) NULLselectdestip选择的目的地址char(1) NULLdestip2目的地址2char(20) NULLtimeflag是否启用时间char(1) NULLtimestart开始时间char(1) NULLtimestop结束时间char(1) NULLdays星期xchar(1) NULL(2)fwdnat表设计:表3-2 Fwdnat字段中文类型&长度&是否为空&主键id序号bigint(20) NULL 主键name名称char(20) NULLsourceinterface源接口char(20) NULLwire接口char(20) NULLsourceip源地址char(20) NULLinnerinterface数据进口char(20) NULLdestip目的地址char(20) NULLsourceservice源服务char(20) NULLdestservice目的服务char(20) NULLstate状态char(1) NULLnum编号int(10) NULLsourceip2源地址2char(20) NULLsourcemask2源地址子网掩码2char(20) NULLdestip2目的地址2char(20) NULLdestmask2目的地址子网掩码2char(20) NULLselectsourceip选择的源地址char(1) NULLselectdestip选择的目的地址char(1) NULLipmac是否启用Ipmac绑定char(1) NULLipmacidsIpmac绑定char(10) NULLtimeflag是否启用时间char(10) NULLtimestart开始时间char(10) NULLtimestop结束时间char(10) NULLdays星期xchar(10) NULLaction动作char(10) NULLethin数据进口char(10) NULLethout数据出口char(10) NULL(3)fwsnat表设计:表3-3 Fwsnat字段中文类型&长度&是否为空&主键id序号bigint(20) NULL 主键name名称char(20) NULLsourceinterface源接口char(20) NULLwire接口char(20) NULLsourceip源地址char(20) NULLinnerinterface数据进口char(20) NULLdestip目的地址char(20) NULLsourceservice源服务char(20) NULLdestservice目的服务char(20) NULLstate状态char(1) NULLnum编号int(10) NULLsourceip2源地址2char(20) NULLsourcemask2源地址子网掩码2char(20) NULLdestip2目的地址2char(20) NULLdestmask2目的地址子网掩码2char(20) NULLselectsourceip选择的源地址char(1) NULLselectdestip选择的目的地址char(1) NULLipmac是否启用Ipmac绑定char(1) NULLipmacidsIpmac绑定char(10) NULLtimeflag是否启用时间char(10) NULLtimestart开始时间char(10) NULLtimestop结束时间char(10) NULLdays星期xchar(10) NULLaction动作char(10) NULLethin数据进口char(10) NULLethout数据出口char(10) NULL(4)fwip表设计:表3-4 Fwip字段中文类型&长度&是否为空&主键id序号bigint(20) unsigned NOT NULLname名称char(20) NULLipIp地址char(20) NULLmask子网掩码char(20) NULLvirtualip虚拟ip地址int(2) NULLEthnum网卡编号int(10) NULL(5)fwipmac表设计:表3-5 Fwipmac字段中文类型&长度&是否为空&主键id序号bigint(20) NULL 主键IpIp地址char(20) NULLMacMac地址char(20) NULL(6)fwservice表设计:表3-6 Fwservice字段中文类型&长度&是否为空&主键id序号bigint(20) NULL 主键name名称char(20) NULLProtocol协议char(40) NULLPorts端口char(20) NULLIcmptypeIcmp数据包类型char(1) NULL3.3前台代码设计本系统界面使用jsp文件实现,主要结构如下:服务管理,ip管理,ipmac管理用于设置常用的参数；防火墙管理、端口映射管理用于防火墙设置，其中端口映射管理包含DNAT和SNAT两部分,可以分别设置源地址转换和目的地址转换。可以针对端口、地址、接口分别对数据包进行限制。前台文件如下： FirewareAdd.jsp防火墙规则添加界面FirewareList.jsp 防火墙规则列表界面FWDnatAdd.jsp 目的地址转换添加界面FWDnatList.jsp 目的地址转换列表界面FWSnatAdd.jsp 源地址转换添加界面FWSnatList.jsp 源地址转换列表界面FWIpAdd.jsp 预定义IP地址添加界面FWIpList.jsp 预定义IP地址列表界面FWIPMacAdd.jsp IP-Mac 绑定添加界面FWIPMacList.jspIP-Mac 列表界面FWIPVAdd.jsp 虚拟IP地址添加界面FWIPVList.jsp 虚拟IP地址列表界面FWServiceAdd.jsp服务添加界面FWServiceList.jsp服务列表界面以上文件实现了网页防火墙的设置界面。总体上来说，*Add.jsp文件为规则添加界面，*List.jsp文件为规则列表界面。前台代码设计如图3-8所示:图3-8 前台设计图 防火墙设置端口映射管理防火墙管理SNATDNAT参数Ip管理Ipmac管理服务管理3.4后台代码设计后台java代码基于strtus框架，从前台接收到参数以后通过strtus-config文件执行相关操作，首先将参数保存到数据库当中，然后根据参数生成相应规则写入文件，并保存到linux下的配置目录中并执行。后台代码主要由action和form组成：*Action.java文件中主要包含业务逻辑实现代，*Form.java文件为实体类，主要用于保存前台传来的参数。后台设计文件如下：FireWareAddAction.java 防火墙规则添加功能FireWareListAction.java 防火墙规则列表显示、管理功能FWDnatAddAction.java 目的地址转换规则添加功能FWDnatListAction.java 目的地址转换列表显示、管理功能FWIpAddAction.java 预定义IP地址添加功能FWIpListAction.java 预定义IP地址列表显示、管理功能FWIPMacAddAction.java IPMAC绑定添加功能FWIPMacListAction.java IPMAC绑定列表显示、管理功能FWIPVAddAction.java 虚拟IP地址添加功能FWIPVListAction.java 虚拟IP地址列表显示、管理功能FWServiceAddAction.java 服务添加功能FWServiceListAction.java 服务列表显示、管理功能FWSnatAddAction.java 源地址转换规则添加功能FWSnatListAction.java 源地址转换规则列表显示、管理功能后台代码设计如图3-9所示:前台strtus-config后台数据库脚本文件查询action写入数据库写入并执行文件查询数据库图3-9 后台设计图 4系统实现4.1防火墙管理在防火墙管理中您可以通过设定具体的规则，从而对网络访问进行过滤，可以设置需要过滤的IP地址、接口、服务，以及满足规则是所执行的动作。4.1.1防火墙规则列表图4-1 防火墙规则列表 如图4-1所示，在本界面上可以实现对防火墙规则的添加，编辑、删除、移动功能，点击名称或者选中要编辑的规则以后点击编辑按钮可以进入规则编辑界面；选中任意一条规则点击向上移或者向下移可以改变规则在系统中的位置以达到不同的目的。在页面上列出数据库中保存的规则需要检索数据库并且放入一个list里面并传到前台，实现代码如下：String sql = select A.id id,A.name name,A.action action,A.enable enable,A.num num,A.sourceip2 sourceip2,A.sourcemask2 sourcemask2, +B.name service,C.name destip from fireware A,fwservice B,fwip C +where A.service=B.id and A.destip=C.id and num=?;PJPreparedStatement ps = new PJPreparedStatement(myform.getConn(),sql);ps.setString(1, rs1.getString(num);rs = ps.executeQuery();while (rs.next() String sourceip = rs.getString(sourceip2)+/+rs.getString(sourcemask2);i = i + 1;if (i (Integer.parseInt(myform.getCurrentPage() - 1)* pageCount& i = Integer.parseInt(myform.getCurrentPage()* pageCount) ArrayList mylist = new ArrayList();mylist.add(rs.getString(id);mylist.add(rs.getString(name);mylist.add(sourceip);mylist.add(rs.getString(destip);mylist.add(rs.getString(service);mylist.add(rs.getString(action);mylist.add(rs.getString(enable);mylist.add(rs.getString(num);list.add(mylist);/上移 private void doDownward(FWDnatListForm myform) throws SQLException, IOException, ExShowOnPageTop, InterruptedException / TODO Auto-generated method stub int num; String sql = ; PJPreparedStatement ps = null; sql = select num from fwdnat where id = ?; ps = new PJPreparedStatement(myform.getConn(), sql); ps.setString(1, myform.getUserIdList()0); ResultSet rs = ps.executeQuery(); if(rs.next() num = Integer.parseInt(rs.getString(num); String sql1 = select max(num) from fwdnat; PJPreparedStatement ps1 = new PJPreparedStatement(myform.getConn(), sql1); ResultSet rs1 = ps1.executeQuery(); if(rs1.next() int num1 = Integer.parseInt(rs1.getString(max(num); if(num num1) String sql2 = select id from fwdnat where num = ?; PJPreparedStatement ps2 = new PJPreparedStatement(myform.getConn(), sql2); ps2.setString(1, Integer.toString(num+1); ResultSet rs2 = ps2.executeQuery(); if(rs2.next() String userId = rs2.getString(id);String sql3 = update fwdnat set num = ? where id = ?;PJPreparedStatement ps3 = new PJPreparedStatement(myform.getConn(), sql3); ps3.setString(1, Integer.toString(num); ps3.setString(2, userId); ps3.executeUpdate(); sql = update fwdnat set num = ? where id = ?; PJPreparedStatement ps4 = new PJPreparedStatement(myform.getConn(), sql3); ps4.setString(1, Integer.toString(num+1); ps4.setString(2, myform.getUserIdList()0); ps4.executeUpdate(); else return; 4.1.2防火墙规则添加/编辑图4-2 防火墙规则添加、编辑1)名称：为新建的防火墙管理输入一个名称；2)序号：输入一个序号，注意不能超过已有序号的最大值+1，但可以和已有序号相同。3)预定义源地址：选择一个预先定义好的源地址。4)自定义源地址：输入IP地址及子网掩码。5)预定义目的地址：选择一个预先定义好的目的地址。6)自定义目的地址：输入IP地址及子网掩码。7)外进接口：选择一个接口。8)外出接口：选择一个接口。9)服务：选择一个服务。10)规则生效时间:启用后可以选择该规则在什么时间启用11)动作：选择当满足以上定义的规则时将执行的动作。11)是否启用：勾选该选项，将立即启用该规则。12)点击“保存”按钮保存以上信息。规则添加、编辑页面实际上一样的，只不过编辑界面的时候可以直接显示以前已经填过的信息实现这个功能的示例代码如下：/这是如何在一个文本框中显示数据库中已存在的数据input type=text name=sourceip2 value= size=15 maxlength=60 disabled /input type=text name=sourcemask2 value= size=15 maxlength=60 disabled /在这个界面的上序号是自动生成的,可以不填写;如果输入小于自动生成的序号的数字则插入该条规则,如果输入的序号大于生成的序号则提示出错。4.1.3防火墙规则的删移动无论删除还是移动，原理都是先根据操作更新数据库然后重写文件，重写文件的实现代码如下：/打开文件FileWriter fw = new FileWriter(new File(/usr/local/enlink/bin/iptables_policy_rule);String netip1 = SELECT column_name from information_schema.columns where column_name like %netip% and table_name=systemtemp;PJPreparedStatement psnetip = new PJPreparedStatement(myform.getConn(),netip1);ResultSet rsnetip = psnetip.executeQuery();ArrayList alnetip = new ArrayList();fw.write(content);fw.close();/执行脚本ExecCommand.exec(/usr/local/enlink/bin/iptables.sh);4.2端口映射管理NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。NAT还可以提供动态网络地址及端口转换功能，实现负载均衡等功能。4.2.1DNAT管理DNAT规则列表:图4-3 DNAT列表 如图4-3所示，在DNAT界面上可以对已经存在的DNAT规则进行编辑、删除、移动等操作实现相应的功能。DNAT规则添加界面:1)名称。为您即将定义的端口映射命名；2)序号：输入一个序号，注意不能超过已有序号的最大值+1，但可以和已有序号相同。3)预定义映射目的IP：选择一个预定义的目的IP。4)自定义映射目的IP：填写映射目的IP地址及相应的子网掩码。5)预定义源IP：选择一个预定义的源映射IP。6)自定义源IP：填写源映射IP地址及相应的子网掩码。7)源服务：选择一个源映射服务，即防火墙会把该服务映射到目标机器服务上。8)映射目的服务：选择一个映射目的服务，即目标机器实际运行的服务。9)IPMAC绑定：若启用该选项，则只有IPMAC列表中选定的地址才进行映射，其他地址将不能访问映射资源。10)规则生效时间:启用后可以选择该规则在什么时间启用11)状态：选择该选项可以立即启用该映射。12)单击“保存”，保存以上配置。如图4-4所示，在DNAT新增界面上可以进行详细的设置，绑定ip mac、设置启用时间等功能动态显示，以达到简洁的效果。图4-4 DNAT添加/编辑界面 4.2.2SNAT管理SNAT列表:图4-5 SNAT列表 新建SNAT添加界面如图4-6所示，1)名称。为您即将定义的端口映射命名；2)序号：输入一个序号，注意不能超过已有序号的最大值+1，但可以和已有序号相同。3)预定义映射目的IP：选择一个预定义的目的IP。4)自定义映射目的IP：填写映射目的IP地址及相应的子网掩码。5)预定义源IP：选择一个预定义的源映射IP。6)自定义源IP：填写源映射IP地址及相应的子网掩码。7)源服务：选择一个源映射服务，即防火墙会把该服务映射到目标机器服务上。8)映射目的服务：选择一个映射目的服务，即目标机器实际运行的服务。9)规则生效时间:启用后可以选择该规则在什么时间启用10)状态：选择该选项可以立即启用该映射。11)单击“保存”，保存以上配置。SNAT与DNAT的区别在于在IPTABLES中一个作用于POSTROUTING链一个用于PREROUTING链,实际配置界面相似，由于POSTROUTING链不支持ip-mac绑定，所以SNAT新建界面上无此设置项图4-6 SNAT编辑添加界面 4.3常用参数设置IPIP-MAC服务4.3.1IP管理自定义IP地址，通过配置IP地址，可以方便的选择所需要的IP地址，不必每次都要重新输入。可以在这里配置实际的IP地址或者虚拟的IP地址。图4-7 IP列表 如图4-8所示，点击ip列表中的名字就可以进入编辑界面； 图4-8 IP添加编辑界面 4.3.2 IP mac绑定可以在这里定义IP MAC对应关系，用于配置NAT规则，以阻止未授权的MAC地址访问特定资源。如图4-9所示，图为ip-mac绑定列表;图4-9 IP-mac列表点击新建或者点击列表中的名称会进入ipmac添加编辑界面；图4-10 IP-MAC添加界面 4.3.3服务管理图4-11显示的是服务管理界面，在此界面上可以配置具体的服务，如HTTP,FTP,POP3,SMTP等。图4-11 服务列表 以下代码实现了在列表管理界面进行删除规则的功能:/实现删除功能private void doDelete(FWServiceListForm myform) throws SQLException, ExShowOnPageTop String userIdList = myform.getUserIdList();String userId = ;String sql = ;String sql2 =;String sql3 =;for (int i = 0; i userIdList.length; i+) userId = userIdListi;sql = select * from fireware A,fwservice B where A.service = B.id and B.id = ?;PJPreparedStatement ps = new PJPreparedStatement(myform.getConn(),sql);ps.setString(1, userId);ResultSet rs = ps.executeQuery();sql2 = select * from fwport A, fwservice B where A.sourceservice = B.id and B.id = ?;PJPreparedStatement ps2 = new PJPreparedStatement(myform.getConn(),sql2);ps2.setString(1, userId);ResultSet rs2 =ps2.executeQuery();sql3 = select * from fwport A,fwservice B where A.destservice = B.id and B.id = ?;PJPreparedStatement ps3 = new PJPreparedStatement(myform.getConn(),sql3);ps