基于Linux包过滤的防火墙技术及应用

讨论了Linux操作系统内核的Ipchains软件包工作原理。利用Ipchains中的输入链、输出链、转发链和自定义链等防火链,通过设置一系列规则,过滤被主机接收、发送或转发的数据包或主机从一个网卡转发到另一个网卡的数据包,实现根据源地址、目的地址、协议号等信息控制访问,企业无须专门的防火墙产品,即可建立包过滤防火墙。该技术适用于中小企业或部门级用户。最后给出一个在局域网环境下用Ipchains实现Linux防火墙的具体实例。     

基于ARM的数据包提取转发机制的研究

提出了基于ARM的数据包提取转发机制.机制的主要任务由改进的数据包提取转发模型——ENSS系统模块承担,该模块是在一个独立于Windows操作系统的硬件平台上运行的一个高安全的系统处理平台.采取Netfilter钩子钩取从一个网卡链路层的数据包提取到网络层,由ARM的安全处理模块进行处理,然后由另一个网卡发送出去.ENSS系统模块取得了良好效果,为其网络安全处理提供了高速稳定的通信平台.     

Netfilter框架下IPv6防火墙的设计与实现

针对目前缺乏IPv6环境下的高性价比的防火墙的现状,分析了Linux下Netfilter框架的实现防火墙的基本原理,结合IPv6协议的实现讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统中包过滤、连线跟踪、状态检测、包处理等关键功能的原理和实现.在实验环境下测试该防火墙,当规则集数量小于600条时,其性能可保持线性增长,能满足中小型用户需求,并为进一步改进查找算法、提高处理性能,满足更高性能的要求打下基础.     

基于Linux的防火墙系统的设计与实现

在当前防火墙相关技术中,Linux防火墙已经成为不可忽视的重要力量.本文首先对Netfilter的内核架构进行了分析,并在此基础之上,采用模块编程方式开发了一个高效的、稳定的、实用的基于包过滤的防火墙系统.实践证明由于Linux防火墙的开源性,Linux下的防火墙实现机制是一个值的探讨的领域.     

Iptables规则集的优化设计

随着网络功能的日益强大,防火墙的性能已经成为影响网络流量的瓶颈,因此在要求防火墙功能强大的同时希望其性能也更高。Linux作为一种开源的操作系统,以其稳定性和安全性著称。Netfilter/iptables系统是Linux下的一个功能非常强大的防火墙系统。针对使用iptables防火墙管理程序建立的防火墙,本文提出了从三个方面去优化它的方法：规则组织、state模块的使用以及用户自定义规则链,使数据包做尽可能少的测试,尽可能快的通过防火墙,最终达到提高防火墙性能的目的。     

桥式网络防火墙的设计技术

为解决局域网的安全以及linux防火墙策略配置难的问题,在分析Linux以太网桥的基础上,以包过滤为例介绍了在Linux操作系统下实现网桥防火墙的方法.同时通过socket编程,实现了基于图形界面的防火墙的远程管理技术.结果表明,基于网桥的防火墙比传统网关型防火墙具有更好的灵活性和更高的安全性,能够实现数据包过滤与防止黑客入侵的功能,性价比高,方便网络管理员的使用.     

网络防火墙安全技术分析

本对网络防火墙安全技术进行了分析,从防火墙的概念,分类入手,着重分析,研究了网络防火墙中的数据包过滤和代理技术,给出了防火墙的一般实现方式。     

IPSEC与防火墙兼容问题研究

作为新一代网络安全标准,IPSEC提供网络层的安全服务,通过对IP报文的加密和验证, 保证数据在传输过程中的安全.为用户提供基于IPSEC的端到端的安全是网络发展的一个趋势.包过滤防火墙是根据协议和端口对数据包进行过滤,由于IPSEC封装了报文中一些重要信息,使得IPSEC与防火墙不能同时有效地工作.在IPSEC与防火墙兼容问题上,本文提出了一种让防火墙介入IPSEC的密钥协商阶段的解决方案.通过防火墙在内外节点之间建立基于IPSEC的安全连接,从而实现内外节点之间的安全通信.     

无线传感器网络中防范选择性丢弃的途中过滤策略

针对现有的虚假数据过滤策略难以防范合法数据包被恶意节点选择性丢弃的问题,提出了防范数据包选择性丢弃的途中过滤策略.策略中每个节点保存其1跳和2跳邻居节点的身份标识及单向链密钥,转发的数据包中附加的是L个节点的最新单向链密钥,而不是像传统途中过滤策略那样附加消息认证码.通过通信节点之间的共同邻居节点监听,采用逐步认证的方式递交数据包.实验结果表明,该策略不仅可高效过滤虚假数据,而且可防范途中恶意节点选择性丢弃合法数据包.     

基于Linux Netfilter的DDoS防火墙设计

分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重。文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙。验证结果表明,该防火墙能够较好的防御DDoS攻击。     

POM库模块扩展功能剖析与应用研究

为了提升Linux防火墙的性能,依据Linux2．4内核Neffflter框架原理,利用Iptables包过滤防火墙规则和POM库模块的功能,提出了防火墙配置的简化方法及其扩展功能,给出模拟实例．结果表明,该配置方法可以提高防火墙的效率,扩展其功能,并使规则文件更利于维护．     

防火墙及其维护技术研究

防火墙是一种静态的网络安全防范措施,入侵检测,预防与恢复都是静态和动态相结合的技术,防火墙的维护与防火墙的建立和配置同等重要。文中分析了防火墙的关键技术;基于路由的包过滤技术与基于特定应用的代理服务技术;研究了防火墙的主要维护技术;基于网络的入侵检测,基于管理员的预防与恢复。     

防火墙系统高可用性研究

从系统可用性的一般定义出发，提出了防火墙可用性包括两个方面：一是“时间可用性”，其衡量防火墙工作的持续性；二是“能力可用性”，其衡量防火墙提供规定功能、性能的能力。并通过形式化数学方法对防火墙可用性进行了描述。之后进一步对由两台或两台以上防火墙构成的防火墙系统的高可用性进行了定义，并对提高防火墙系统高可用性的两种解决方案进行了定量分析和比较，结果表明“并联冗余”解决方案适用于对时间可用性要求特别高的应用场合，“旁联冗余”解决方案适用于对时间可用性要求比较高的应用场合，从而为解决适用于不同网络应用环境的防火墙系统高可用性问题提供了可行的理论依据和工程方法。     

用IPFW为汇文服务器定制透明网桥防火墙

基于汇文服务器的网络环境特点,运用IPFW制作一个透明网桥防火墙,对其动态规则进行分析,作出一个适合数据库长连接的规则集.另外,对oracle数据库的端口复用及连接保活进行了较为深入地探讨.实践表明:透明网桥式接入点具有隐蔽性,可避免多种攻击,可避开一般3层防火墙的NAT带给oracle应用程序的局限性.     

DDoS攻击报文过滤器在Linux防火墙中的应用

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害严重的拒绝服务攻击。因此，对它进行检测和防御就显得非常困难。文章主要介绍了常用的儿种DDoS方式，提出了一套针对IP报文TTL值分布进行检测以及对TCP报文进行验证过滤的方案，并在此基础上对传统的Linux防火墙进行了改进。实验表明经过改进之后的防火墙能够在一定程度上防御DDoS攻击，比传统的简单报文过滤方法在实时性、准确性上有很大提高。     

Linux系统安全问题分析与研究

本文针对Linux本身所具有的良好安全机制,从不同角度阐述了如何设置才能更好地提高系统安全性。接着重点介绍了与Linux内核集成的iptables包过滤系统,在此基础上实现了一个简单的linux防火墙系统,经实际测试能够达到对外网防御内网保护的目的。     

基于中间驱动程序的数据包截获技术

为了在防火墙中截获网络封包，并对截获的信息进行处理，本文利用NDIS机制，在DDK环境下进行中间驱动程序的编程，实现了如何通过NDIS对数据包进行截获，进而在此基础上进行加密和过滤等附加操作．     

Windows下基于IMD的NAT型防火墙的设计

在防火墙技术中,单独使用一种技术总会出现性能瓶颈或安全隐患的问题,综合利用多种技术制作的防火墙能够满足需要高标准网络安全的环境.通过模块化的设计方法,在Windows网络体系结构的IMD层下把NAT技术、过滤技术、状态检测技术,以及不同的认证方法结合起来实现防火墙,以达到高效抵御各种网络攻击,极大提高网络安全性的目的,并且这种方法实现容易,更新方便.     

防火墙并行工作的实现

越来越多的关键应用运行在计算机网络上，作为计算机网络安全防护基础设施的防火墙充当着越来越重要的角色.应用的逐渐扩展，用户的不断增加使得单台防火墙的处理能力不断下降，处理速度不断减慢，防火墙已经影响到网络的正常运行，成为网络之间数据传输的瓶颈.介绍了多台防火墙并行工作的必要性和实际中常用的两种防火墙并行工作的方法，并说明了两种方法在实际中的优点和不足.重点阐述了多台防火墙动态并行工作的原理和实现及如何消除网络中防火墙的单点故障.