徐工_论文答辩.pptx

Linux下的防火墙网页程序研发姓 名：蒋云龙指导老师：田 隽Linux下的防火墙 对于Internet上的系统，不管是什么情况都要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统100％安全，但却是绝对必要的。防火墙能够有效的限制外部网络对内部网络的访问，并且对内部网络提供的服务进行映射，从而有效的保护内部网络。 Linux提供了一个非常优秀的防火墙工具netfilter/iptabels。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，而且可以在一台低配置机器上很好地运行。本系统实现的防火墙就是基于netfilter/iptables的。IPTABLES结构iptables包含三个表：filter表、nat表、mangle表。filter表包含以下三个链：INPUT：主要与封包想要进入我们 Linux 本机有关；OUTPUT：主要与我们 Linux 本机所要送出的封包有关；FORWARD：封包『转递』到后端的计算机中；nat表包含以下三个链：PREROUTING：在进行路由判断之前所要进行的规则；POSTROUTING：在进行路由判断之后所要进行的规则；OUTPUT：与发送出去的封包有关防火墙设计思想 首先分析一下数据包在防火墙内部的走向，数据包从Nat表的PREROUTING链进入防火墙，到达防火墙以后进行路由判断，路由分析数据包判断目的地址为防火墙本机还是防火墙后面的主机，如果目的地址为防火墙本机，数据包会依次经过Filter表的INPUT链，本地进程处理，FILTER表的OUTPUT链,NAT表的POSTROUTING链，然后送出防火墙。目的地址如果不是本机，则经过Filter表的FORWARD链,NAT表的POSTROUTING链送入后面的主机； 经过以上分析，不难看出，Filter的INPUT FORWARD两个链和NAT表的PREROUTING是数据包的必经之路，由于PREROUTING不便于数据包分别控制，那么防火墙的过滤功能由INPUT FORWARD实现，这两个链默认为DROP，即不接受所有的数据包，除了防火墙程序本身必须的端口以外所有的端口都将由界面添加，INPUT链用于保护防火墙，FORWARD用于保护防火墙后面的主机。防火墙的另外一个重要功能就是端口映射，端口映射可以将防火墙后面的主机的地址、端口映射到防火墙主机的任意未使用的端口上面，以此来实现保护后面主机的功能。实现端口映射功能主要是通过NAT表的PREROUTING链和POSTROUTING链来实现，PREROUTING链实现目的地址转换，即DNAT；POSTROUTING链实现源地址转换，即SNAT。通过DNAT、SNAT的合理设置就可以实现端口映射功能和代理上网功能。Iptables流程图数据包进入NAT表 PREROUTING目的地址为防火墙主机FILTER表 INPUT路由判断目的地址不是防火墙主机本地进程路由判断FILTER表 FORWARDNAT表 OUTPUTFILTER表 OUTPUTNAT表 FORWARD数据包送出NAT表 FORWARD防火墙功能的实现 Linux下的防火墙设置是在命令行下进行的，但是这样对普通用户来说就造成了很大的不便，因此，我采用了B/S模式，用户可以通过直观的界面进行防火墙的设置。 主要思路就是通过java写出linux能执行的脚本，然后执行脚本在IPTABLES中添加防火墙规则。具体流程图如下：系统实现流程图strtus-config查询action前台数据库后台写入数据库查询数据库写入、执行脚本文件脚本文件总结 这个系统是我在南京易安联网络技术有限公司做的SSL VPN设备中的防火墙模块。由于时间、技术原因，这个防火墙模块实现的功能比较有限，只能针对常用端口、协议进行操作。 谢谢观看！