基于NAN的混合型防火墙

传统防火墙分析 包过滤防火墙位于协议网络层,按照网络安全策略对IP包进行选择,允许或拒绝特定的报文通过.过滤一般是基于一个IP分组的有关域(IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型)进行的.基于IP源/目的地址的过滤,即根据特定组织机构的网络安全策略,过滤掉具有特定IP地址的分组,从而保护内部网络;基于TCP/UDP源/目的端口的过滤,因为端口号区分了不同的服务类型或连接类型(如SMTP使用端口25,Telnet使用端口23等),所以为包过滤提供了更大的灵活性.同时由于它是位于协议的网络层,所以效率较高;但是该防火墙所依靠的安全参数仅为IP报头的地址和端口信息,若要增加安全参数,增加对数据报文的处理,则势必加大处理难度,降低系统效率,故安全性较低.同时一般的包过滤还具有泄露内部网的安全数据信息(如拓扑结构信息)和暴露内部主机的所有安全漏洞的缺点,难以抵制IP层的攻击行为.     

基于NAT的混合型防火墙

传统防火墙分析包过滤防火墙位于协议网络层,按照网络安全策略对IP包进行选择,允许或拒绝特定的报文通过。过滤一般是基于一个IP分组的有关域（IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型）进行的。基于IP源/目的地址的过滤,即根据特定组织     

中国将制定SIP／H．323穿越NAT／防火墙的标准

随着基于SIP/H.323的宽带业务的蓬勃发展,为了解决网络安全问题和IP地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918)通过NAT/防火墙出口来接入公共网络。 NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,不满足条件的IP包不能够穿透NAT/防火墙。 NAT/防火墙对HTTP等端口固定的一般应用协议只需要转换IP/TCP/UDP头即可很好的实现穿透,但对于H.323/SIP/H.248/     

业界要闻

中国将制定SIP/H.323穿越NAT/防火墙的标准 随着基于SIP/H.323的宽带业务的蓬勃发展,为了解决网络安全问题和IP地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918)通过NAT/防火墙出口来接入公共网络。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,不满足条件的IP包小能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口固定的一般应用协议,只需要转换IP/TCP/UDP头即可很好地实现穿透。但对于H.323/S1P/H.248/MGCP应用来说,是在控制信息中动态地协商媒体流端口     

IP语音和视讯业务的NAT穿越

为了解决网络安全和地址资源匮乏等问题，大量企业和驻地网采用了私有编址(RFC1918)，并通过NAT／防火墙来控制与公共网络的通信。NAT／防火墙能够完成私有编址与公网编址的相互转化，并设置相应的包过滤规则，让不满足条件的IP包不能够穿透NAT／防火墙。NAT／防火墙对HTTP等端口固定的一般应用协议，只需要转换IP、TCP、UDP头，即可很     

端口扫描

端口扫描的诊断工具要生成诊断用TCP／IP包(称作诊断包)，并传送给目的主机，使用的诊断包在TCP／IP首标信息里，已将IP地址、协议号、TCP、UDP(User Datagram Protocol)的端口号等进行了各种改变。如：粗调查TCP端口时，使用TCP的首标信息，将端口号设定为1～65535的一系列包生成为诊断包。     

两端均为私网用户的NAT穿越

NAT(Network Address Translation)是一种把内部私有网络的IP地址翻译成公共网络的IP地址的技术。在国内由于公网IP地址资源匮乏和网络安全问题等原因,大量企业用户和个人宽带用户采用了内网编址,并通过NAT/防火墙来与公共网络通信。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT/防火墙。目前的NAT/防火墙设备对HTTP、POP3等端口固定的常用协议都有很好的支持,只要稍加配置即可很好地实现穿透,但对于语音和视频应用来说,其控制信息常需要用到动态协商或随机打开…     

4类防火墙简介

防火墙的基本类型包括4大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。     

多媒体业务NAT／防火墙穿越技术发展现状

一、引言 为了解决网络安全问题和地址资源匮乏等问题，大量企业和驻地网采用了私有编址(RFC1918)，并通过网络地址翻译(NAT)来控制与公共网络的通信。NAT能够完成私有编址与公网编址的相互转化，并设置相应的包过滤规则，让不满足条件的IP包不能够穿透NAT。NAT对HTTP等端口固定的一般应用协议．只需要转换IP／TCP／UDP头即可实现穿透，     

透明模式防火墙的实现方法

在互联网通信中，所有的包都是有其地址的，从底层的物理硬件地址、LLC服务地址到IP地址、TCP、UDP的服务端口等，正是依靠这些地址才找到了目标主机和用户进程，最终完成通信。既要无IP地址,又要接收到所有通信包，那么只有工作在IP层之下的数据链路层，利用物理硬件地址接收数据帧；这样防火墙对所截取的数据帧进行解析、处理就可以达到安全目的。以往的传统防火墙只解析IP层以上的信息；而在透明模式下，防火墙则对包括数据链路层及其以上各层的全方位的信息解析，使得上层的判断包含了更充分的数据和信息，以此来对各种报文、攻…     

中国将制定SIP／H．323穿越NAT／防火墙的标准

随着展于SIP／H.323的宽带业务的蓬勃发展，为了解决网络安全问题和IP地址资源匮乏等问题，大量企业和驻地网采用了私有编址(RFC1918)通过NAT／防火墙出口来接入公共网络。NAT／防火墙能够完成私有编址与公网编址的相互转化，并设置相应的包过滤规则，不满足条什的IP包不能够穿透NAT／防火墙NAT／防火墙对HTTP等端口固定的一般应用协议，只需要     

基于操作系统内核的包过滤防火墙系统的设计与实现

主要研究如何通过基于Windows操作系统内核的包过滤防火墙系统来实现网络安全防护.基于操作系统内核的包过滤防火墙系统是基于网络层实现的包过滤防火墙系统,该系统要求能够对所有进出计算机的IP数据包进行灵活控制,实现包过滤的核心问题是如何截获所有的IP数据包.首先介绍了包过滤防火墙的基本结构和原理,然后在剖析操作系统内核的基础上,研究并设计了基于Windows操作系统内核的包过滤防火墙系统.     

Sonic WALL确保VoIP安全

安全威胁由最初的文件病毒、DDoS攻击、端口扫描,发展到现在的蠕虫病毒、木马、间谍软件、黑客入侵等,网络安全威胁已经由针对TCP/IP协议的漏洞攻击转到利用TCP/IP数据包内容对操作系统和应用漏洞攻击,传统的防火墙已经无能为力。与之抗衡的防火墙技术的发展也经历了第一代包过滤防火墙,第二代应用代理防火墙,第三代全状态检测防火墙和新兴的第四代深度包检测防火墙,即一体化威胁管理设备,简称U T M设备。与第三代全状态检测防火墙不同的是,UTM设备不仅能在第三层,第四层检查TCP/IP协议和规则,而且能扫描数据到应用层,实现网关防…     

源地址策略路由应用

策略路由（PolicY—Based Routing）是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择，还能根据源IP地址、目的IP址、协议字段，甚至于TCP、UDP的源、目的端口等多种组合进行选路。简单地说，只要IP标准或扩展的访问控制列表（Standard／Extended ACL）能设置的，都可以作为策略路由的匹配规则进行转发。     

首信防火墙——让您放心的网络防盗门

首信防火墙的主要功能 本系统的主要功能包括:防止外部攻击,保护内部网络,解决网络边界的安全问题;通过防火墙隔离内外网络;支持访问代理功能;对IP地址进行访问控制;对端口进行访问控制;对协议进行访问控制;按照某种政策进行访问控制;通过IP地址和MAC地址的对应防止IP盗用;基于IP地址进行流量统计;基于工作组进行流量统计;提供计费和流量管理,查询和统计功能。另外,首信防火墙系统采用了19英寸的标准工业用计算机,具有极高的稳定性和可靠性。     

搭建B2B SBC实现IMS信令穿越双层防火墙的研究

1 引言 搭建受保护的局域网通常采用以下两种方式：（1）利用防火墙本身提供的NAT功能;（2）在防火墙后部署专用NAT服务器。无论采用哪种方式,均只完成OSI协议中网络层的IP地址转换,即只修改IP包包头部分的IP地址,不会处理包体携带的数据。因此,对于采用基于SIP实现的IMS架构,在进行需要穿越NAT的VoIP通信时,由于SIP信令位于IP包包体内,上述转换方法无法转换SIP包携带的IP地址,     

包过滤防火墙策略的应用

在TCP/IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开TCP/IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。     

TCP/IP协议的安全性分析与防范

TCP/IP协议是网络中使用的基本通信协议.虽然从名字上看它包括两个协议:TCP协议和IP协议,但确切的说,TCP/IP实际上是一组协议,除了最常用的TCP和IP协议外,还包含许多其它的工具性协议、管理协议及应用协议.TCP/IP协议共分为4层,即:应用层、传输层、互连网络层、网络接入层.其中,应用层向用户提供访问Internet的一些高层协议,使用最广泛的有TELNET、FTP、SMTP、DNS等.传输层提供应用程序端到端的通信服务,该层有两个协议:TCP和UDP.互连网络层负责相邻主机之间的通信,该层协议主要有IP和ICMP等.网络接口层是TCP/IP协议软件的最低一层,主要负责数据帧的发送和接收.     

基于IPSec的网络安全实现

因特网(Internet)是全球最大的、开放的、由众多网络互连而成的计算机网络．TCP／IP协议旅是实现网络连接性和互操作性的关键。TCP/IP协议的开放性促进了Internet的发展和普及，但由此带来的网络安全问题正日益突出。为了保护国家公众信息网和企业内部网及外联网信息和数据的安全，必须大力发展网络安全技术。     

包过滤防火墙系统的设计与研究

为了实现保护信息不被窃取或破坏,设计了一款个人防火墙。该防火墙集成了个人防火墙中普遍采用的两种包过滤方法,即通过内核态下的网络封包拦截获得网络数据包的进程、端口、协议等详细信息,根据协议和端口规则对网络数据封包进行处理;同时,通过用户态下对应用程序数据包的拦截来设置自己的应用程序规则来进行过滤。采用推理机实现过滤规则的动态生成;提高了包过滤防火墙的性能,能更好地保证网络信息的安全。