首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到16条相似文献,搜索用时 109 毫秒
1.
面对网络规模的无限量扩大以及新型攻击的不断出现,企业开始采用多级防火墙机制加强对整个网络的安全保护。然而这种保护机制同时向人们提出了如何保证策略与策略之间无异常的问题。因此,从防火墙底层的规则入手,主要针对防火墙的包过滤规则,定义了规则之间可能存在的异常,同时提出相应的检测算法以及基于WBEM架构的异常检测系统,在解决策略异常问题的同时实现防火墙策略整体上的对外一致性。  相似文献   

2.
为提高分布式防火墙异常规则的检测效率并优化异常规则,提出基于半同构标记防火墙决策图(SMFDD)的分布式防火墙异常规则检测算法与异常规则优化算法。异常规则检测算法在保持原始规则完整性、一致性、紧凑性的基础上,消除独立防火墙规则间异常;通过SMFDD之间的比较操作,提高异常规则的检测效率。异常规则优化算法根据SMFDD之间逻辑操作,定位引起规则异常的重叠或交叉域,修正分布式防火墙规则间异常,优化防火墙规则。仿真结果表明,当防火墙含有一定规则时,异常规则检测算法可以提高分布式防火墙规则间异常检测效率,异常优化算法能够快速优化异常规则。  相似文献   

3.
在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。  相似文献   

4.
防火墙过滤规则异常的研究   总被引:3,自引:0,他引:3  
赵启斌  梁京章 《计算机工程》2005,31(12):158-160
对防火墙过滤规则之间的联系和可能存在的异常作了深入的研究,给出了一种能自动发现防火墙规则异常的技术和标准,便于规则的管理和维护,也消除了因管理员错误配置规则而造成的安全隐患。  相似文献   

5.
分布式防火墙在保护网络安全方面发挥着重要作用,但是由于分布式防火墙规则之间的异常,给网络带来了安全隐患.理解并且分析分布式防火墙的功能及存在的异常是必要的但又困难的.因此,文章中引入DFSQL分布式防火墙策略异常查询结构性描述语言,并给出一种适用于分布式防火墙规则异常检测算法,通过仿真实验证明算法的正确性和执行效率.  相似文献   

6.
基于Linux高校网络防火墙的设计   总被引:1,自引:0,他引:1  
在众多网络安全技术中,防火墙技术是常用的一种.本文首先分析了网络安全和防火墙的基本概念,然后设计了一种以太网综合型主机防火墙.该防火墙使用了包过滤技术,但是在传统的包过滤技术上作了较大的改进,在包过滤的规则中加入了关键字过滤规则以及基于对TCP连接状态进行监测的动态过滤规则.在该防火墙中还集成了入侵检测模块,使得防火墙能够对网络中的异常情况作出响应,提高了系统的安全性.本文中还在Linux操作系统下将该防火墙进行了实现,并对其  相似文献   

7.
孙云  罗军勇  刘炎 《计算机工程》2009,35(2):164-166
从集合角度描述防火墙过滤规则及规则之间存在的异常类型,给出规则间异常类型判定方法。指出直接使用判定方法分析防火墙规则集时所存在的问题,提出一种基于规则顺序敏感性的防火墙规则配置异常分析方法,得到等效的不相关规则集,实现过滤规则的改写。  相似文献   

8.
为解决分布式防火墙中因规则冲突而导致策略异常问题,提出了一种基于XML的DFW策略异常的发现算法;该算法在分布式防火墙系统中,对于处在不同防火墙策略中的每条规则,设计一棵单根结点的树来表示分布式防火墙策略,即策略树(Policy Tree),然后通过集合全部的策略树,完成防火墙之间策略异常的发现过程;通过对算法的模拟运行,发现该算法在速度性能和可伸缩性方面较其他算法有很大的改进。  相似文献   

9.
基于特征的入侵防御系统是目前的入侵防御技术的主流。分析研究Snort入侵检测系统和Netfilter防火墙的工作原理,对如何保障自身安全以及联动的方式进行探讨,利用插件技术、多线程技术设计编写相关协同模块,提出一种基于Snort和Netfilter的分布式入侵防御系统;针对Netfilter防火墙规则集的顺序敏感性的工作特点,对其规则的编写进行具体优化,提高系统工作效率。经过测试证明,该系统灵活高效,能够利用入侵检测系统的检测能力,动态地为防火墙定制过滤规则,阻断攻击源,从而达到入侵防御的目的。  相似文献   

10.
防火墙过滤规则动态生成方案设计   总被引:1,自引:0,他引:1       下载免费PDF全文
基于主机的包过滤防火墙只能提供单一层面的、静态的网络安全防护。为此,设计一个可动态生成防火墙过滤规则的方案。利用专家知识检测网络层数据包的攻击行为和运行中应用程序的攻击行为,通过专家系统推理,实现防火墙过滤规则的动态生成。基于 Windows系统的实验结果证明,该防火墙系统能检测出多种攻击行为,并及时生成防火墙的过滤规则。  相似文献   

11.
防火墙过滤规则的建模和全面优化   总被引:1,自引:1,他引:1  
防火墙的管理在今天的企业网络环境中是一个复杂和易出错的任务,网络管理员不能仅仅依靠自己的经验和知识来配置防火墙,而必须使用有效的工具和技术,在系统的方法学的指导下来完成。论文采用几何技术对防火墙的配置进行建模,每个过滤规则被映射为多维空间中的一个几何体,从而使得防火墙的配置可视化和易于理解。该方法可以对防火墙的现有规则库进行彻底的重写,从而实现全面的优化。另外,该文还将通常定义在两个规则之间的规则冲突的概念和分类扩展到多个规则之间。  相似文献   

12.
The fundamental goals of security policy are to allow uninterrupted access to the network resources for authenticated users and to deny access to unauthenticated users. For this purpose, firewalls are frequently deployed in every size network. However, bad configurations may cause serious security breaches and network vulnerabilities. In particular, conflicted filtering rules lead to block legitimate traffic and to accept unwanted packets. This fact troubles administrators who have to insert and delete filtering rules in a huge configuration file. We propose in this paper a quick method for managing a firewall configuration file. We represent the set of filtering rules by a firewall anomaly tree (FAT). Then, an administrator can update the FAT by inserting and deleting some filtering rules. The FAT modification automatically reveals emerged anomalies and helps the administrator to find the adequate position for a new added filtering rule. All the algorithms presented in the paper have been implemented, and computer experiments show the usefulness of updating the FAT data structure in order to quickly detect anomalies when dealing with a huge firewall configuration file.  相似文献   

13.
Linux下基于Netfilter的包过滤算法   总被引:2,自引:0,他引:2       下载免费PDF全文
刘云 《计算机工程》2009,35(11):143-145
通过对Linux操作系统下Netfilter防火墙中包过滤技术的分析,发现Netfilter包过滤使用简单的线性分级算法,当防火墙需要匹配的规则越来越多时,防火墙的性能会急剧下降,造成系统瓶颈。因此,提出一种基于二叉树和Hash函数的包过滤算法B—H。通过测试证明,该算法在大量规则的情况下能够达到快速匹配,有效地提高了包过滤的性能。  相似文献   

14.
With the development of the network, the problem of network security is becoming increasingly serious. The importance of a firewall as the "first portal" to network security is obvious. In order to cope with a complex network environment, the firewall must formulate a large number of targeted rules to help it implement network security policies. Based on the characteristics of the cloud environment, this paper makes in-depth research on network security protection technology, and studies the network firewall system. The system implements unified configuration of firewall policy rules on the cloud management end and delivers them to the physical server where the virtual machine is located. Aiming at the characteristics of virtual machines sharing network resources through kernel bridges, a network threat model for virtual machines in a cloud environment is proposed. Through analysis of network security threats, a packet filtering firewall scheme based on kernel bridges is determined. Various conflict relationships between rules are defined, and a conflict detection algorithm is designed. Based on this, a rule order adjustment algorithm that does not destroy the original semantics of the rule table is proposed. Starting from the matching probability of the rules, simple rules are separated from the default rules according to the firewall logs, the relationships between these rules and the original rules are analyzed, and the rules are merged into new rules to evaluate the impact of these rules on the performance of the firewall. New rules are added to the firewall rule base to achieve linear firewall optimization. It can be seen from the experimental results that the optimization strategy proposed in this paper can effectively reduce the average number of matching rules and improve the performance of the firewall.  相似文献   

15.
对防火墙的定义、主要功能、体系结构,防火墙技术中的包过滤技术进行了具体研究,构造了一个基于Linux的包过滤型防火墙系统。该系统包括数据包捕获模块、数据包过滤模块、数据包转发模块和日志与记费模块。实践证明,该包过滤型防火墙系统在保护网络安全上有良好的效果。  相似文献   

16.
详细分析了Linux系统的安全机制,找出可能存在的安全隐患,给出了相应的安全策略和Linux包过滤防火墙的原理和配置方法。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号