畢業(yè)設(shè)計(jì)--linux下的防火墻程序研發(fā)

1、<p><b>　　畢業(yè)設(shè)計(jì)(論文)</b></p><p>　Linux下的防火墻網(wǎng)頁(yè)程序研發(fā)</p><p>　LINUX IPTABLES WEB APPLICATIONS UNDER DEVELOPMENT</p><p><b>　　摘要</b></p><p>　　隨著Inte

2、rnet的迅猛發(fā)展，安全問(wèn)題成為了網(wǎng)絡(luò)信息傳輸?shù)念^等大事，針對(duì)安全問(wèn)題，我們引入了防火墻的概念。</p><p>　　本系統(tǒng)基于Linux系統(tǒng)，核心是Linux下的強(qiáng)大的netfilter/iptables工具，由于Linux下的操作為命令行模式，對(duì)普通用戶的使用造成了極大的不便，本系統(tǒng)使用B/S模式，將防火墻設(shè)置簡(jiǎn)潔直觀的用網(wǎng)頁(yè)的方式顯示出來(lái)，以Java+Mysq+Tomcat為平臺(tái)，使用Eclipse工具編寫(xiě)

3、。本系統(tǒng)將實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾、端口映射等防火墻必備功能。</p><p>　　關(guān)鍵詞 Internet；Linux；Eclipse；Mysql；Java；Tomcat；防火墻；安全；</p><p><b>　　Abstract</b></p><p>　　With the rapid development of Internet, safety

4、 problems became the priority of network information transmission, according to security issues, we introduce the concept of the firewall.This system is based on Linux, the core is the powerful tool of netfilter/iptabl

5、es under Linux, because the under Linux operation is command-line mode, for the operation of the use of ordinary users, caused a great inconvenience, this system uses B/S model, the firewall Settings concise intuitive wa

6、y with web pag</p><p>　　Keywords Internet Linux Eclipse Mysql Java Tomcat Firewall Safe</p><p><b>　　目 錄</b></p><p><b>　　1系統(tǒng)概述1</b></p>&

7、lt;p>　　1.1研究背景及意義1</p><p>　　1.2論文總體結(jié)構(gòu)1</p><p>　　2系統(tǒng)關(guān)鍵技術(shù)及介紹2</p><p>　　2.1防火墻技術(shù)簡(jiǎn)介2</p><p>　　2.1.1 Linux下的防火墻2</p><p>　　2.1.2 IPTABLES簡(jiǎn)介2</p>

8、<p>　　2.1.3 IPTABLES結(jié)構(gòu)2</p><p>　　2.2 B/S模式和開(kāi)發(fā)平臺(tái)4</p><p>　　2.2.1 B/S模式4</p><p>　　2.2.2開(kāi)發(fā)工具與開(kāi)發(fā)環(huán)境的介紹4</p><p><b>　　3系統(tǒng)設(shè)計(jì)6</b></p><p>　　3.

9、1防火墻結(jié)構(gòu)設(shè)計(jì)6</p><p>　　3.1.1防火墻設(shè)計(jì)構(gòu)圖6</p><p>　　3.1.2防火墻設(shè)計(jì)思想6</p><p>　　3.2系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)7</p><p>　　3.2.1 ER圖7</p><p>　　3.2.2數(shù)據(jù)表設(shè)計(jì)9</p><p>　　3.3前臺(tái)代碼設(shè)計(jì)

10、12</p><p>　　3.4后臺(tái)代碼設(shè)計(jì)13</p><p><b>　　4系統(tǒng)實(shí)現(xiàn)14</b></p><p>　　4.1防火墻管理15</p><p>　　4.1.1防火墻規(guī)則列表15</p><p>　　4.1.2防火墻規(guī)則添加/編輯17</p><p&g

11、t;　　4.1.3防火墻規(guī)則的刪移動(dòng)18</p><p>　　4.2端口映射管理19</p><p>　　4.2.1DNAT管理19</p><p>　　4.2.2SNAT管理21</p><p>　　4.3常用參數(shù)設(shè)置IP\IP-MAC\服務(wù)22</p><p>　　4.3.1IP管理22</p&g

12、t;<p>　　4.3.2 IP mac綁定23</p><p>　　4.3.3服務(wù)管理24</p><p><b>　　結(jié)論29</b></p><p><b>　　致謝30</b></p><p><b>　　參考文獻(xiàn)31</b></p>

13、<p><b>　　附錄32</b></p><p><b>　　附錄132</b></p><p><b>　　附錄235</b></p><p><b>　　1系統(tǒng)概述</b></p><p>　　1.1研究背景及意義</p&

14、gt;<p>　　隨著Internet的迅猛發(fā)展，安全問(wèn)題成為了網(wǎng)絡(luò)信息傳輸?shù)念^等大事，針對(duì)安全問(wèn)題，我們引入了防火墻的概念，。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，防火墻能夠有效的限制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，并且對(duì)內(nèi)部網(wǎng)絡(luò)提供的服

15、務(wù)進(jìn)行映射，從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)。</p><p>　　對(duì)于Internet上的系統(tǒng)，不管是什么情況都要明確一點(diǎn)：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100％安全，但卻是絕對(duì)必要的。</p><p><b>　　1.2論文總體結(jié)構(gòu)</b></p><p>　　論文的總體結(jié)構(gòu)如下：</p><p>　　

16、第二章是系統(tǒng)關(guān)鍵技術(shù)介紹。主要介紹了防火墻原理、數(shù)據(jù)包結(jié)構(gòu)、B/S模式和開(kāi)發(fā)平臺(tái)；</p><p>　　第三章是系統(tǒng)設(shè)計(jì)。本章主要介紹了系統(tǒng)的總體設(shè)計(jì)，包括防火墻規(guī)則設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)，前臺(tái)代碼設(shè)計(jì)以及后臺(tái)代碼設(shè)計(jì)；</p><p>　　第四章是系統(tǒng)實(shí)現(xiàn)。本章主要展示系統(tǒng)的實(shí)現(xiàn)過(guò)程，通過(guò)系統(tǒng)截圖和關(guān)鍵代碼說(shuō)明；</p><p>　　最后，對(duì)論文進(jìn)行總結(jié)。</p&

17、gt;<p>　　2系統(tǒng)關(guān)鍵技術(shù)及介紹</p><p>　　2.1防火墻技術(shù)簡(jiǎn)介</p><p>　　2.1.1 Linux下的防火墻</p><p>　　Linux提供了一個(gè)非常優(yōu)秀的防火墻工具netfilter/iptabels。它完全免費(fèi)、功能強(qiáng)大、使用靈活、可以對(duì)流入和流出的信息進(jìn)行細(xì)化控制，且可以在一臺(tái)低配置機(jī)器上很好地運(yùn)行。</p&g

18、t;<p>　　2.1.2 IPTABLES簡(jiǎn)介</p><p>　　netfilter/iptabels應(yīng)用程序，被認(rèn)為是Linux中實(shí)現(xiàn)包過(guò)濾功能的第四代應(yīng)用程序。netfilter/iptables包含在2.4以后的內(nèi)核中，它可以實(shí)現(xiàn)防火墻、NAT（地址轉(zhuǎn)換）和數(shù)據(jù)包的分割等功能。由兩個(gè)組件netfilter 和 iptables 組成:</p><p>　　netfi

19、lter 組件也稱為內(nèi)核空間（kernelspace），是內(nèi)核的一部分，由一些信息包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。</p><p>　　iptables 組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易。由兩個(gè)組件netfilter 和 iptables 組成。 </p><p>　　netfilter/ip

20、tables從ipchains和ipwadfm（IP防火墻管理）演化而來(lái)，功能更加強(qiáng)大。習(xí)慣上把netfilter/iptabels簡(jiǎn)稱為iptables。</p><p>　　2.1.3 IPTABLES結(jié)構(gòu)</p><p>　　iptables包含三個(gè)表：filter表、nat表、mangle表。</p><p>　　filter表包含以下三個(gè)鏈：</p&

21、gt;<p>　　INPUT：主要與封包想要進(jìn)入我們 Linux 本機(jī)有關(guān)</p><p>　　OUTPUT：主要與我們 Linux 本機(jī)所要送出的封包有關(guān)</p><p>　　FORWARD：封包『轉(zhuǎn)遞』到后端的計(jì)算機(jī)中</p><p>　　nat表包含以下三個(gè)鏈：</p><p>　　PREROUTING：在進(jìn)行路由判斷之前

22、所要進(jìn)行的規(guī)則</p><p>　　POSTROUTING：在進(jìn)行路由判斷之后所要進(jìn)行的規(guī)則</p><p>　　OUTPUT：與發(fā)送出去的封包有關(guān)</p><p>　　以下為IPTABLES示意圖:</p><p>　　圖2-2為數(shù)據(jù)包的結(jié)構(gòu)圖：</p><p>　　2.2 B/S模式和開(kāi)發(fā)平臺(tái)</p>

23、<p>　　2.2.1 B/S模式</p><p><b>　　B/S模式的概念</b></p><p>　　B/S（Browser/Server，瀏覽器/服務(wù)器）模式又稱B/S結(jié)構(gòu)。它是隨著Internet技術(shù)的興起，對(duì)C/S模式應(yīng)用的擴(kuò)展。在這種結(jié)構(gòu)下，用戶工作界面是通過(guò)IE瀏覽器來(lái)實(shí)現(xiàn)的。B/S模式最大的好處是運(yùn)行維護(hù)比較簡(jiǎn)便，能實(shí)現(xiàn)不同的人員，從不

24、同的地點(diǎn)，以不同的接入方式（比如LAN, WAN, Internet/Intranet等）訪問(wèn)和操作共同的數(shù)據(jù)。</p><p>　　B/S與C/S的對(duì)比及優(yōu)勢(shì)</p><p>　　1．投入成本比較。B/S結(jié)構(gòu)軟件一般只有初期一次性投入成本。對(duì)于集團(tuán)來(lái)講，有利于軟件項(xiàng)目控制和避免IT黑洞，而C/S結(jié)構(gòu)的軟件則不同，隨著應(yīng)用范圍的擴(kuò)大，投資會(huì)連綿不絕。 </p><p&g

25、t;　　2．硬件投資保護(hù)比較。在對(duì)已有硬件投資的保護(hù)方面，兩種結(jié)構(gòu)也是完全不同的。當(dāng)應(yīng)用范圍擴(kuò)大，系統(tǒng)負(fù)載上升時(shí)，C/S結(jié)構(gòu)軟件的一般解決方案是購(gòu)買更高級(jí)的中央服務(wù)器，原服務(wù)器放棄不用，這是由于C/S軟件的兩層結(jié)構(gòu)造成的，這類軟件的服務(wù)器程序必須部署在一臺(tái)計(jì)算機(jī)上；而B(niǎo)/S結(jié)構(gòu)則不同，隨著服務(wù)器負(fù)載的增加，可以平滑地增加服務(wù)器的個(gè)數(shù)并建立集群服務(wù)器系統(tǒng)，然后在各個(gè)服務(wù)器之間做負(fù)載均衡。有效地保護(hù)了原有硬件投資。 </p>

26、<p>　　3．企業(yè)快速擴(kuò)張支持上的比較。對(duì)于成長(zhǎng)中的企業(yè)，快速擴(kuò)張是它的顯著特點(diǎn)。對(duì)于C/S結(jié)構(gòu)的軟件來(lái)講，由于必須同時(shí)安裝服務(wù)器和客戶端、建設(shè)機(jī)房、招聘專業(yè)管理人員等，所以無(wú)法適應(yīng)企業(yè)快速擴(kuò)張的特點(diǎn)。而B(niǎo)/S結(jié)構(gòu)軟件，只需一次安裝，以后只需設(shè)立賬號(hào)、培訓(xùn)即可。</p><p>　　2.2.2開(kāi)發(fā)工具與開(kāi)發(fā)環(huán)境的介紹</p><p>　　Java語(yǔ)言的特點(diǎn)及優(yōu)勢(shì)</p&

27、gt;<p>　　Java是一種簡(jiǎn)單的，面向?qū)ο蟮?，分布式的，解釋型的，健壯安全的，結(jié)構(gòu)中立的，可移植的，性能優(yōu)異、多線程的動(dòng)態(tài)語(yǔ)言。Java語(yǔ)言的優(yōu)良特性使得Java應(yīng)用具有無(wú)比的健壯性和可靠性，這也減少了應(yīng)用系統(tǒng)的維護(hù)費(fèi)用。Java對(duì)對(duì)象技術(shù)的全面支持和Java平臺(tái)內(nèi)嵌的API能縮短應(yīng)用系統(tǒng)的開(kāi)發(fā)時(shí)間并降低成本。Java的編譯一次，到處可運(yùn)行的特性使得它能夠提供一個(gè)隨處可用的開(kāi)放結(jié)構(gòu)和在多平臺(tái)之間傳遞信息的低成本方式。

28、</p><p><b>　　MySQL的介紹</b></p><p>　　MySQL是一個(gè)小型關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，目前MySQL被廣泛地應(yīng)用在Internet上的中小型網(wǎng)站中。由于其體積小、速度快、總體擁有成本低，尤其是開(kāi)放源碼這一特點(diǎn)，許多中小型網(wǎng)站為了降低網(wǎng)站總體擁有成本而選擇了MySQL作為網(wǎng)站數(shù)據(jù)庫(kù)。</p><p>　　Eclip

29、se和Tomcat的介紹</p><p>　　Eclipse 是一個(gè)開(kāi)放源代碼的、基于 Java 的可擴(kuò)展開(kāi)發(fā)平臺(tái)。就其本身而言，它只是一個(gè)框架和一組服務(wù)，用于通過(guò)插件組件構(gòu)建開(kāi)發(fā)環(huán)境。幸運(yùn)的是，Eclipse 附帶了一個(gè)標(biāo)準(zhǔn)的插件集，包括 Java 開(kāi)發(fā)工具（Java Development Tools，JDT）。</p><p>　　Tomcat 是一個(gè)輕量級(jí)應(yīng)用服務(wù)器，由于運(yùn)行時(shí)占

30、用的系統(tǒng)資源小，擴(kuò)展性好，支持負(fù)載平衡與郵件服務(wù)等優(yōu)點(diǎn)，在中小型系統(tǒng)和并發(fā)訪問(wèn)用戶不是很多的場(chǎng)合下被普遍使用，是開(kāi)發(fā)和調(diào)試JSP 程序的首選。</p><p><b>　　3系統(tǒng)設(shè)計(jì)</b></p><p>　　3.1防火墻結(jié)構(gòu)設(shè)計(jì)</p><p>　　3.1.1防火墻設(shè)計(jì)構(gòu)圖</p><p>　　防火墻設(shè)置主要包括防火

31、墻管理和端口映射管理，IP管理、IP MAC管理、服務(wù)管理為防火墻管理和端口映射管理提供參數(shù)</p><p>　　3.1.2防火墻設(shè)計(jì)思想</p><p>　　作為一個(gè)防火墻，對(duì)于數(shù)據(jù)包的過(guò)濾是必須的。由圖1-1可以看出,數(shù)據(jù)包的經(jīng)過(guò)防火墻的流程為:</p><p>　　1.從Nat表的PREROUTING鏈進(jìn)入防火墻；</p><p>　　

32、2.進(jìn)行路由判斷，路由分析數(shù)據(jù)包判斷目的地址為防火墻本機(jī)還是防火墻后面的主機(jī)；</p><p>　　3.目的地址為防火墻本機(jī)，數(shù)據(jù)包會(huì)依次經(jīng)過(guò)Filter表的INPUT鏈，本地進(jìn)程處理，F(xiàn)ILTER表的OUTPUT鏈,NAT表的POSTROUTING鏈，然后送出防火墻。目的地址如果不是本機(jī)，則經(jīng)過(guò)Filter表的FORWARD鏈,NAT表的POSTROUTING鏈送入后面的主機(jī)；</p><p

33、>　　經(jīng)過(guò)以上分析，不難看出，F(xiàn)ilter的INPUT FORWARD兩個(gè)鏈和NAT表的PREROUTING是數(shù)據(jù)包的必經(jīng)之路，由于PREROUTING不便于數(shù)據(jù)包分別控制，那么防火墻的過(guò)濾功能由INPUT FORWARD實(shí)現(xiàn)，這兩個(gè)鏈默認(rèn)為DROP，即不接受所有的數(shù)據(jù)包，除了防火墻程序本身必須的端口以外所有的端口都將由界面添加，INPUT鏈用于保護(hù)防火墻，F(xiàn)ORWARD用于保護(hù)防火墻后面的主機(jī)。</p><p

34、>　　防火墻的另外一個(gè)重要功能就是端口映射，端口映射可以將防火墻后面的主機(jī)的地址、端口映射到防火墻主機(jī)的任意未使用的端口上面，以此來(lái)實(shí)現(xiàn)保護(hù)后面主機(jī)的功能。</p><p>　　實(shí)現(xiàn)端口映射功能主要是通過(guò)NAT表的PREROUTING鏈和POSTROUTING鏈來(lái)實(shí)現(xiàn)，PREROUTING鏈實(shí)現(xiàn)目的地址轉(zhuǎn)換，即DNAT；POSTROUTING鏈實(shí)現(xiàn)源地址轉(zhuǎn)換，即SNAT。通過(guò)DNAT、SNAT的合理設(shè)置就可

35、以實(shí)現(xiàn)端口映射功能和代理上網(wǎng)功能。</p><p>　　3.2系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)</p><p>　　本系統(tǒng)采用MySQL數(shù)據(jù)庫(kù)。</p><p>　　在Mysql數(shù)據(jù)庫(kù)中創(chuàng)建enlink數(shù)據(jù)庫(kù)，建立6張數(shù)據(jù)表：firewall、fwdnat、fwsnat、fwip、fwipmac、fwservice</p><p>　　本數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)本著相互關(guān)

36、聯(lián)的設(shè)計(jì)思想設(shè)計(jì)的，各個(gè)表之間通過(guò)ID進(jìn)行關(guān)聯(lián)。</p><p><b>　　3.2.1 ER圖</b></p><p>　　(1)firewall防火墻規(guī)則表ER圖如圖3-2所示</p><p>　　(2)fwdnat DNAT表ER圖如圖3-3所示</p><p>　　(3)fwsnat SNAT表ER圖如圖3-4所

37、示</p><p>　　(4)fwip IP表ER圖如圖3-5所示</p><p>　　(5)fwipmac IPMAC綁定表ER圖如圖3-6所示</p><p>　　(6)fwservice 服務(wù)表ER圖如圖3-7所示</p><p>　　3.2.2數(shù)據(jù)表設(shè)計(jì)</p><p>　　(1)Firewall表設(shè)計(jì):&l

38、t;/p><p>　　表3-1 Firewall</p><p>　　(2)fwdnat表設(shè)計(jì):</p><p>　　表3-2 Fwdnat</p><p>　　(3)fwsnat表設(shè)計(jì):</p><p>　　表3-3 Fwsnat</p><p>　　(4)fwip表設(shè)計(jì):</p>

39、<p><b>　　表3-4 Fwip</b></p><p>　　(5)fwipmac表設(shè)計(jì):</p><p>　　表3-5 Fwipmac</p><p>　　(6)fwservice表設(shè)計(jì):</p><p>　　表3-6 Fwservice</p><p><b>　　3

40、.3前臺(tái)代碼設(shè)計(jì)</b></p><p>　　本系統(tǒng)界面使用jsp文件實(shí)現(xiàn),主要結(jié)構(gòu)如下:</p><p>　　服務(wù)管理,ip管理,ipmac管理用于設(shè)置常用的參數(shù)；</p><p>　　防火墻管理、端口映射管理用于防火墻設(shè)置，其中端口映射管理包含DNAT和SNAT兩部分,可以分別設(shè)置源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換?？梢葬槍?duì)端口、地址、接口分別對(duì)數(shù)據(jù)包進(jìn)行限制

41、。</p><p><b>　　前臺(tái)文件如下： </b></p><p>　　FirewareAdd.jsp防火墻規(guī)則添加界面</p><p>　　FirewareList.jsp 防火墻規(guī)則列表界面</p><p>　　FWDnatAdd.jsp 目的地址轉(zhuǎn)換添加界面</p><p>　　FWD

42、natList.jsp 目的地址轉(zhuǎn)換列表界面</p><p>　　FWSnatAdd.jsp 源地址轉(zhuǎn)換添加界面</p><p>　　FWSnatList.jsp 源地址轉(zhuǎn)換列表界面</p><p>　　FWIpAdd.jsp 預(yù)定義IP地址添加界面</p><p>　　FWIpList.jsp 預(yù)定義IP地址列表界面</p>

43、<p>　　FWIPMacAdd.jsp IP-Mac 綁定添加界面</p><p>　　FWIPMacList.jspIP-Mac 列表界面</p><p>　　FWIPVAdd.jsp 虛擬IP地址添加界面</p><p>　　FWIPVList.jsp 虛擬IP地址列表界面</p><p>　　FWServiceAdd.jsp

44、服務(wù)添加界面</p><p>　　FWServiceList.jsp服務(wù)列表界面</p><p>　　以上文件實(shí)現(xiàn)了網(wǎng)頁(yè)防火墻的設(shè)置界面。總體上來(lái)說(shuō)，*Add.jsp文件為規(guī)則添加界面，*List.jsp文件為規(guī)則列表界面。</p><p>　　前臺(tái)代碼設(shè)計(jì)如圖3-8所示:</p><p><b>　　3.4后臺(tái)代碼設(shè)計(jì)</b

45、></p><p>　　后臺(tái)java代碼基于strtus框架，從前臺(tái)接收到參數(shù)以后通過(guò)strtus-config文件執(zhí)行相關(guān)操作，首先將參數(shù)保存到數(shù)據(jù)庫(kù)當(dāng)中，然后根據(jù)參數(shù)生成相應(yīng)規(guī)則寫(xiě)入文件，并保存到linux下的配置目錄中并執(zhí)行。</p><p>　　后臺(tái)代碼主要由action和form組成：*Action.java文件中主要包含業(yè)務(wù)邏輯實(shí)現(xiàn)代，*Form.java文件為實(shí)體類，主

46、要用于保存前臺(tái)傳來(lái)的參數(shù)。</p><p><b>　　后臺(tái)設(shè)計(jì)文件如下：</b></p><p>　　FireWareAddAction.java 防火墻規(guī)則添加功能</p><p>　　FireWareListAction.java 防火墻規(guī)則列表顯示、管理功能</p><p>　　FWDnatAddAction.j

47、ava 目的地址轉(zhuǎn)換規(guī)則添加功能</p><p>　　FWDnatListAction.java 目的地址轉(zhuǎn)換列表顯示、管理功能</p><p>　　FWIpAddAction.java 預(yù)定義IP地址添加功能</p><p>　　FWIpListAction.java 預(yù)定義IP地址列表顯示、管理功能</p><p>　　FWIPMacAd

48、dAction.java IPMAC綁定添加功能</p><p>　　FWIPMacListAction.java IPMAC綁定列表顯示、管理功能</p><p>　　FWIPVAddAction.java 虛擬IP地址添加功能</p><p>　　FWIPVListAction.java 虛擬IP地址列表顯示、管理功能</p><p>　

49、　FWServiceAddAction.java 服務(wù)添加功能</p><p>　　FWServiceListAction.java 服務(wù)列表顯示、管理功能</p><p>　　FWSnatAddAction.java 源地址轉(zhuǎn)換規(guī)則添加功能</p><p>　　FWSnatListAction.java 源地址轉(zhuǎn)換規(guī)則列表顯示、管理功能</p>&l

50、t;p>　　后臺(tái)代碼設(shè)計(jì)如圖3-9所示:</p><p><b>　　4系統(tǒng)實(shí)現(xiàn)</b></p><p><b>　　4.1防火墻管理</b></p><p>　　在防火墻管理中您可以通過(guò)設(shè)定具體的規(guī)則，從而對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行過(guò)濾，可以設(shè)置需要過(guò)濾的IP地址、接口、服務(wù)，以及滿足規(guī)則是所執(zhí)行的動(dòng)作。</p>

51、<p>　　4.1.1防火墻規(guī)則列表</p><p>　　如圖4-1所示，在本界面上可以實(shí)現(xiàn)對(duì)防火墻規(guī)則的添加，編輯、刪除、移動(dòng)功能，點(diǎn)擊名稱或者選中要編輯的規(guī)則以后點(diǎn)擊編輯按鈕可以進(jìn)入規(guī)則編輯界面；選中任意一條規(guī)則點(diǎn)擊向上移或者向下移可以改變規(guī)則在系統(tǒng)中的位置以達(dá)到不同的目的。</p><p>　　在頁(yè)面上列出數(shù)據(jù)庫(kù)中保存的規(guī)則需要檢索數(shù)據(jù)庫(kù)并且放入一個(gè)list里面并傳到前臺(tái)

52、，實(shí)現(xiàn)代碼如下：</p><p>　　4.1.2防火墻規(guī)則添加/編輯</p><p>　　1)名稱：為新建的防火墻管理輸入一個(gè)名稱；</p><p>　　2)序號(hào)：輸入一個(gè)序號(hào)，注意不能超過(guò)已有序號(hào)的最大值+1，但可以和已有序號(hào)相同。</p><p>　　3)預(yù)定義源地址：選擇一個(gè)預(yù)先定義好的源地址。</p><p>

53、　　4)自定義源地址：輸入IP地址及子網(wǎng)掩碼。</p><p>　　5)預(yù)定義目的地址：選擇一個(gè)預(yù)先定義好的目的地址。</p><p>　　6)自定義目的地址：輸入IP地址及子網(wǎng)掩碼。</p><p>　　7)外進(jìn)接口：選擇一個(gè)接口。</p><p>　　8)外出接口：選擇一個(gè)接口。</p><p>　　9)服務(wù)：選擇

54、一個(gè)服務(wù)。</p><p>　　10)規(guī)則生效時(shí)間:啟用后可以選擇該規(guī)則在什么時(shí)間啟用</p><p>　　11)動(dòng)作：選擇當(dāng)滿足以上定義的規(guī)則時(shí)將執(zhí)行的動(dòng)作。</p><p>　　11)是否啟用：勾選該選項(xiàng)，將立即啟用該規(guī)則。</p><p>　　12)點(diǎn)擊“保存”按鈕保存以上信息。</p><p>　　規(guī)則添加、編

55、輯頁(yè)面實(shí)際上一樣的，只不過(guò)編輯界面的時(shí)候可以直接顯示以前已經(jīng)填過(guò)的信息</p><p>　　實(shí)現(xiàn)這個(gè)功能的示例代碼如下：</p><p>　　在這個(gè)界面的上序號(hào)是自動(dòng)生成的,可以不填寫(xiě);如果輸入小于自動(dòng)生成的序號(hào)的數(shù)字則插入該條規(guī)則,如果輸入的序號(hào)大于生成的序號(hào)則提示出錯(cuò)。</p><p>　　4.1.3防火墻規(guī)則的刪移動(dòng)</p><p>　

56、　無(wú)論刪除還是移動(dòng)，原理都是先根據(jù)操作更新數(shù)據(jù)庫(kù)然后重寫(xiě)文件，重寫(xiě)文件的實(shí)現(xiàn)代碼如下：</p><p><b>　　4.2端口映射管理</b></p><p>　　NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問(wèn)題。在防火墻上實(shí)現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。NAT還可以提供動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能，實(shí)現(xiàn)負(fù)載均

57、衡等功能。</p><p>　　4.2.1DNAT管理</p><p><b>　　DNAT規(guī)則列表:</b></p><p>　　如圖4-3所示，在DNAT界面上可以對(duì)已經(jīng)存在的DNAT規(guī)則進(jìn)行編輯、刪除、移動(dòng)等操作實(shí)現(xiàn)相應(yīng)的功能。</p><p>　　DNAT規(guī)則添加界面:</p><p>　

58、　1)名稱。為您即將定義的端口映射命名；</p><p>　　2)序號(hào)：輸入一個(gè)序號(hào)，注意不能超過(guò)已有序號(hào)的最大值+1，但可以和已有序號(hào)相同。</p><p>　　3)預(yù)定義映射目的IP：選擇一個(gè)預(yù)定義的目的IP。</p><p>　　4)自定義映射目的IP：填寫(xiě)映射目的IP地址及相應(yīng)的子網(wǎng)掩碼。</p><p>　　5)預(yù)定義源IP：選擇一

59、個(gè)預(yù)定義的源映射IP。</p><p>　　6)自定義源IP：填寫(xiě)源映射IP地址及相應(yīng)的子網(wǎng)掩碼。</p><p>　　7)源服務(wù)：選擇一個(gè)源映射服務(wù)，即防火墻會(huì)把該服務(wù)映射到目標(biāo)機(jī)器服務(wù)上。</p><p>　　8)映射目的服務(wù)：選擇一個(gè)映射目的服務(wù)，即目標(biāo)機(jī)器實(shí)際運(yùn)行的服務(wù)。</p><p>　　9)IPMAC綁定：若啟用該選項(xiàng)，則只有I

60、PMAC列表中選定的地址才進(jìn)行映射，其他地址將不能訪問(wèn)映射資源。</p><p>　　10)規(guī)則生效時(shí)間:啟用后可以選擇該規(guī)則在什么時(shí)間啟用</p><p>　　11)狀態(tài)：選擇該選項(xiàng)可以立即啟用該映射。</p><p>　　12)單擊“保存”，保存以上配置。</p><p>　　如圖4-4所示，在DNAT新增界面上可以進(jìn)行詳細(xì)的設(shè)置，綁定i

61、p mac、設(shè)置啟用時(shí)間等功能動(dòng)態(tài)顯示，以達(dá)到簡(jiǎn)潔的效果。</p><p>　　4.2.2SNAT管理</p><p><b>　　SNAT列表:</b></p><p>　　新建SNAT添加界面如圖4-6所示，</p><p>　　1)名稱。為您即將定義的端口映射命名；</p><p>　　2)

62、序號(hào)：輸入一個(gè)序號(hào)，注意不能超過(guò)已有序號(hào)的最大值+1，但可以和已有序號(hào)相同。</p><p>　　3)預(yù)定義映射目的IP：選擇一個(gè)預(yù)定義的目的IP。</p><p>　　4)自定義映射目的IP：填寫(xiě)映射目的IP地址及相應(yīng)的子網(wǎng)掩碼。</p><p>　　5)預(yù)定義源IP：選擇一個(gè)預(yù)定義的源映射IP。</p><p>　　6)自定義源IP：填寫(xiě)

63、源映射IP地址及相應(yīng)的子網(wǎng)掩碼。</p><p>　　7)源服務(wù)：選擇一個(gè)源映射服務(wù)，即防火墻會(huì)把該服務(wù)映射到目標(biāo)機(jī)器服務(wù)上。</p><p>　　8)映射目的服務(wù)：選擇一個(gè)映射目的服務(wù)，即目標(biāo)機(jī)器實(shí)際運(yùn)行的服務(wù)。</p><p>　　9)規(guī)則生效時(shí)間:啟用后可以選擇該規(guī)則在什么時(shí)間啟用</p><p>　　10)狀態(tài)：選擇該選項(xiàng)可以立即啟用

64、該映射。</p><p>　　11)單擊“保存”，保存以上配置。</p><p>　　SNAT與DNAT的區(qū)別在于在IPTABLES中一個(gè)作用于POSTROUTING鏈一個(gè)用于PREROUTING鏈,實(shí)際配置界面相似，由于POSTROUTING鏈不支持ip-mac綁定，所以SNAT新建界面上無(wú)此設(shè)置項(xiàng)</p><p>　　4.3常用參數(shù)設(shè)置IP\IP-MAC\服務(wù)&

65、lt;/p><p><b>　　4.3.1IP管理</b></p><p>　　自定義IP地址，通過(guò)配置IP地址，可以方便的選擇所需要的IP地址，不必每次都要重新輸入。可以在這里配置實(shí)際的IP地址或者虛擬的IP地址。</p><p>　　如圖4-8所示，點(diǎn)擊ip列表中的名字就可以進(jìn)入編輯界面；</p><p>　　4.3.2

66、 IP mac綁定</p><p>　　可以在這里定義IP MAC對(duì)應(yīng)關(guān)系，用于配置NAT規(guī)則，以阻止未授權(quán)的MAC地址訪問(wèn)特定資源。</p><p>　　如圖4-9所示，圖為ip-mac綁定列表;</p><p>　　點(diǎn)擊新建或者點(diǎn)擊列表中的名稱會(huì)進(jìn)入ipmac添加編輯界面；</p><p><b>　　4.3.3服務(wù)管理<

67、/b></p><p>　　圖4-11顯示的是服務(wù)管理界面，在此界面上可以配置具體的服務(wù)，如HTTP,FTP,POP3,SMTP等。</p><p>　　以下代碼實(shí)現(xiàn)了在列表管理界面進(jìn)行刪除規(guī)則的功能:</p><p>　　點(diǎn)擊服務(wù)名稱或者新建時(shí)會(huì)進(jìn)入新建編輯界面，如圖4-12</p><p>　　以下代碼實(shí)現(xiàn)了數(shù)據(jù)填寫(xiě)的時(shí)候進(jìn)行后臺(tái)檢

68、查多過(guò)程</p><p><b>　　結(jié)論</b></p><p>　　本系統(tǒng)屬于南京易安聯(lián)網(wǎng)絡(luò)技術(shù)有限公司的SSL VPN系統(tǒng)的防火墻模塊，系統(tǒng)實(shí)現(xiàn)了在頁(yè)面上對(duì)防火墻進(jìn)行具體的設(shè)置，界面簡(jiǎn)潔直觀，輸入信息方便（有些信息通過(guò)數(shù)據(jù)表直接調(diào)出），后臺(tái)自動(dòng)進(jìn)行數(shù)據(jù)檢查。系統(tǒng)架設(shè)好了以后只要一根網(wǎng)線一個(gè)瀏覽器就可以完成防火墻設(shè)置，實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾，端口映射，代理上網(wǎng)等功能。&l

69、t;/p><p>　　當(dāng)然，由于時(shí)間、自身技術(shù)等原因只能實(shí)現(xiàn)簡(jiǎn)單的防火墻功能，比如p2p下載、視頻工具等暫時(shí)無(wú)法進(jìn)行限制，界面設(shè)置邏輯也不是很完善，總之各方面都有待改進(jìn)。</p><p><b>　　致謝</b></p><p>　　本論文是在**老師的悉心指導(dǎo)下完成的，在畢業(yè)設(shè)計(jì)的過(guò)程中，**老師不僅耐心的指導(dǎo)，還積極的鼓勵(lì)。**老師為了指導(dǎo)我們

70、的畢業(yè)論文，犧牲了不少休息時(shí)間，這種無(wú)私的精神令人欽佩。**老師淵博的知識(shí)讓我受益匪淺，這對(duì)我以后的工作和學(xué)習(xí)都有很大的幫助。還有**老師認(rèn)真的工作態(tài)度也是我想要學(xué)習(xí)的。</p><p>　　我還要感謝大學(xué)四年中教過(guò)我的老師們，沒(méi)有你們，我不可能完成畢業(yè)設(shè)計(jì)以及畢業(yè)論文的撰寫(xiě)。是你們給予我知識(shí)與動(dòng)力，在以后的工作和學(xué)習(xí)中，我會(huì)好好的利用他們，不讓你們的努力白費(fèi)。</p><p><b

71、>　　參考文獻(xiàn)</b></p><p>　　[1]《鳥(niǎo)哥的私房菜LINUX服務(wù)器架設(shè)》出版社：科學(xué)出版社.</p><p>　　[2]（美）烏爾曼、戴科斯著。徐璐譯?！禔jax入門經(jīng)典》 出版社： 清華大學(xué).</p><p>　　[3]衛(wèi)軍、夏慧軍、孟臘春編著?！禘xtJS Web應(yīng)用程序開(kāi)發(fā)指南》 出版社：機(jī)械工業(yè)出版社.</p>

72、<p>　　[4]陳昊鵬 等譯。《Java 編程思想》 出版社：機(jī)械工業(yè)出版社.</p><p>　　[5]Mark Wutka.JSP 和Servlet 程序設(shè)計(jì)使用專輯[M].北京:機(jī)械工業(yè)出版社, 2002:345-378.</p><p>　　[6] 孫衛(wèi)琴，李洪成.Tomcat與Web開(kāi)發(fā)技術(shù)詳解[M].北京:電子工業(yè)出版社，2004年4月:10-233.</p&

73、gt;<p>　　[7]費(fèi)拉納提.javascript權(quán)威指南[M].北京:機(jī)械工業(yè)出版社，2007年8月:30-154.</p><p>　　[8]George Reese Randy.MySQL權(quán)威指南[M].北京：中國(guó)電力出版社, 2003:143-200.</p><p>　　[9]谷慶華等.基于java語(yǔ)言實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)[J].計(jì)算機(jī)技術(shù)與發(fā)展, 2008:10-1

74、69.</p><p>　　[10]張佳昆 主編.計(jì)算機(jī)管理信息系統(tǒng)的構(gòu)筑[J].中國(guó)計(jì)算機(jī)報(bào), 1995:1-200.</p><p>　　[11]Jason Brittain,IanF.Darwin.Tomcat權(quán)威指南(第二版)[M].北京：中國(guó)電力出版社, 2009.</p><p>　　[12]David Flanagan．Java in a Nutshe

75、ll:A Desktop Quick Reference[M] ．O'Reilly & Assoc, 1997．</p><p>　　[13]劉潔.基于JSP和JavaBean技術(shù)的網(wǎng)絡(luò)書(shū)城設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代情報(bào), 2005第11期:20-43.</p><p><b>　　附錄</b></p><p><b>