摘要：基于linux过滤包的防火墙是一个简单的、基于linux下的iptables的简单的防火墙系统，它能简单的处理基本的网络数据包的过滤，维护内部网络的安全性。本系统是以linux的netfilter框架系统底层，以python中的Flask框架作为系统的上层管理框架。整个系统分为两个主要模块。模块一，WEB层，包过滤规则的添加、删除、查看以及更改规则顺序。模块二，本地应用层，与内核和WEB层交互。模块三，linux内核层，包过滤的实现。中国论文网关键词：linux；netfilter；防火墙；包过滤中图分类号：TP316文献标识码：A文章编号：1009-3044（2012）30-7192-04当今社会已经不如信息时代，无论是个人，还是企业，对互联网的依赖越来越大。而伴随着Internet在全世界范围的迅速发展和广泛应用，Internet中出现的各种网络安全问题也随之而来，像信息泄露、数据篡改、服务拒绝等等安全问题屡出不穷。在互联网中，内部网络连接外部网络是通过接入Internet的路由器（router）接入的，路由强迫所有从内部网络流入和流出的通信流量。而防火墙就是应用在路由器上，控制流入和流出网络的一项网络安全技术。使用防火墙能有效的保护内部网络免受外部网络的攻击，维持内部网络的安全性。1Linux防火墙的设计Firewall防火墙是一个简单的基于linux平台上的防火墙，它利用Linux内核的netfilter模块，对从本机进出的网络数据包进行过滤，并可以通过WEB见面进行交互操作，并可以对进出防火墙的数据进行记录。1.1功能描述防火墙的主要功能是对发送到本地以及从本地发出的网络数据包进行拦截，防火墙的拦截功能定义是防火墙对什么网络数据报进行过滤、怎么样进行过滤。该防火墙可以对网络数据包进行过滤，过滤规则如下：策略：分为接收和丢弃。地址过滤：根据源地址和目的地址过滤端口过滤：根据源端口和目的端口进行过滤协议过滤：根据协议类型进行过滤（TCP、UDP、ICMP）防火墙能与用户进行交互是防火墙的基本功能，用户可以使用WEB界面对防火墙的规则进行一些操作。规则的设置：用户可以增加防火墙的规则，只要规则合法，会立即生效。规则的显示：用户可以列出当前防火墙中的所有规则。规则的删除：用户可以根据规则的序号对防火墙中目前的规则进行删除操作。1.2防火墙过滤的链本系统支持3条链的过滤，即只挂载了3个NETFITER钩子点，即INPUT链，OUTPUT链和FORWARD链。INPUT链：防火墙的输入链，即进入主机的网络数据包都会经过该防火墙链，所有进入的数据包都会匹配该链上的规则。OUTPUT链：防火墙的输出链，即从主机发出的网络鼠标都会经过该链，可以将对从主机发出的网络数据包的过滤规则放到该链，当命中的时候，在这个链上对网络数据包按照定义的动作进行处理。FORWARD链：防火墙的转发链，即主机进行转发的网络数据包都会经过该链，如果需要对转发的网络数据包进行过滤，可以将规则放到FORWARD链上。1.3系统采用的技术方案在Linux操作系统上，netfilter是一款非常成熟、十分成功的网路数据包过滤框架，Linux下著名的防火墙工具iptables就是基于netfilter框架构建的。本系统是以netfilter框架为底层框架，以netlink框架作为中间层，以Flask框架作为和用户交互的web层。本系统也是采用netfilter的5个钩子实现的。FIREWALL防火墙选取了netfilter5个钩子中的3个作为实现防火墙网络数据包截取的基础，即：NF_INET_LOCAL_IN、NF_INET_LCOAL_OUT和NF_INET_FORWARD，分别对应防火墙的INPUT链、OUTPUT链和FORWARD链。上面的内容是防火墙内核层面的实现技术，而防火墙要能与用户交互，必须有一种合适的用户空间和内核空间交互的方式。在Linux系统中，内核空间和用户空间进行交互的方式主要有ioctl（）方式、sysctl（）方式、网络方式、PROC方式、文件读写方式等。本系统采用的是netlink（）方法。Netlink框架用于实现数据在内核空间和用户空间传递的方式。本系统作为一个模块载入Linux内核空间的。这样模块加载后，内核不需要重新编译，而且用户也可以动态地加载和写在模块，调试也很方便。本系统采用的是web方式和用户交互，这样更易于和用户交互。该系统采用的是python中流行的web框架Flask。Flask是一款简洁的、灵活的...