DDOS防火墙性能测试的研究

在大型网络的骨干网络DDOS攻击的防护中,DDOS防火墙性能的要求变得越来越高,性能测试也成为防火墙测试工作重要的一部分。结合DDOS防火墙性能指标的内容探讨了性能测试用例的设计方案、性能测试过程中常用的测试工具和测试执行的基本方法,并提出了一种使用测量不确定度评定测试指标值的方法。     

Linux防火墙的框架与性能分析

简要介绍了Linux防火墙体系结构及原理,在对它的性能进行理论分析的基础上结合具体实验,与一台百兆商业防火墙进行了性能对比测试,最后概述了Linux防火墙的适用场合。     

防火墙性能基准测试研究

该文通过分析防火墙性能测试影响因素及两种测试模型，重点讨论了防火墙性能评价的指标、测试方法及报告内容，并结合测试原理给出了两种典型的测试系统设计实例。     

一种防火墙规则快速匹配方法

包过滤是防火墙的一项基本技术,一种快速的规则匹配方法,能极大地提高防火墙的吞吐量和性能。RFC算法是具有代表性的包分类算法,分类速度快。文章着眼于应用RFC算法提高防火墙访问控制列表（ACL）的搜索速度,对RFC算法的建立过程、算法的性能等作了简单介绍,对适合防火墙实际应用的RFC算法进行了阐述,并在防火墙上进行了测试验证。     

Netfilter/iptables防火墙性能优化方案与实现

随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现。测试结果表明这种方法能够有效提高防火墙的性能。     

最快的防火墙

北大青鸟公司近日正式推出新一代青鸟网关防火墙JB-FW1(V2.2)。在中国国家信息安全测评认证中心进行的性能测试中,该防火墙在设置100条安全规则、启动内部地址转换功能时,数据吞吐量达到了100Mbps全双工,此数值是百兆防火墙的极限速率,而且平均延迟小于0.038毫秒,充分显示出了其卓越性能,此极限速率的测试结果也表明北大青鸟在防火墙等信息安全产品的技术研发方面已     

梭子鱼的NSS Labs测试

正该测试验证了梭子鱼Web应用防火墙的安全效能●梭子鱼Web应用防火墙在NSS Labs完成的产品分析测试中取得了高性能的结果。●梭子鱼Web应用防火墙阻止99.97%的攻击,并以0.715%的低误报率通过了所有的稳定性和可靠性测试。梭子鱼全球安全事业部总经理Stephen Pao表示:"我们将继续提升梭子鱼Web应用防火墙性能,以帮助确保客户拥有最新保护来防御DDoS攻     

OpenBSD下基于CARP协议的负载均衡防火墙研究

0PenBSD的安全性使其赢得了大量忠实的用户,尤其存网络路由、防火墙上的表蜕,被学校大量作为防火墙（NAT）使用。本系统丛于OpenBSD,利用CARP协议实现了防火墙之间的负载均衡,提高了防火墙的可用性;存实验测试中运行良好、性能稳定。     

多层交换技术在宽带防火墙系统中的应用

随着网络的宽带化,传统的防火墙已经无法适应这样的变化。对于防火墙来说,需要支持1G,甚或10G这样的链路。无论是基于包过滤的防火墙,还是基于应用网关的防火墙都必须满足这样的要求。文章利用作者研究的高性能包分类算法和基于粘结的技术可以极大地提高基于包过滤和应用网关防火墙的性能。在一个商业化的防火墙的环境下测试了采用新包分类算法和基于粘结技术的原型的性能。在目前的测试环境下,根据理论分析,可以达到1G的性能。     

IPv6防火墙过滤技术的研究与应用

由于IPv6协议格式自身的特点,使得传统的IPv4防火墙不能很好地应用于IPv6网络,故对IPv6防火墙技术的研究成为了一个热点。为了使传统的IPv4防火墙能够更好地适应用于IPv6网络,从防火墙的过滤技术入手,分析比较几种主要的过滤技术及其特征,将流过滤技术引入IPv6的防火墙中,结合了Linux下开源防火墙NetFilter框架,给出了流过滤技术在IPv6防火墙中具体的实现思路与方法,最后对这种流过滤防火墙的性能进行测试,表明了IPv6流过滤防火墙的可行性。     

A systematic methodology for firewall penetration testing

Firewall testing is one of the most useful of a set of alternatives for evaluating the security effectiveness of a firewall. A major advantage of firewall testing is being able to empirically determine how secure a firewall is against attacks that are likely to be launched by network intruders. This article advances the view that firewall testing should examine not only the ability of a firewall to resist attacks from external sources, but also the defences of the entire network that the firewall protects against external threats. Accordingly, testing should follow a systematic methodology to ensure that it is complete and appropriate, and to reduce the risk of damage and/or disruption to networks and hosts within.     

When firewalls fail: Lessons learned from firewall testing

Firewall testing, if properly conducted, is advantageous in revealing specific ways that firewalls can be breached or bypassed. A previous issue of Network Security (March 1996) describes a systematic methodology for testing firewalls that SRI Consulting uses. SRI Consulting has conducted a sufficient number of tests to be able to generalize about how firewalls in real-life environments have succumbed to attacks based on this methodology. Unscreened services in hosts protected by the firewall have been the most frequently exploited exposure, followed by exploitation of services that run on the firewall itself, then by exploitation of a dangerous relationship between a firewall and an external router or host on the DMZ. Because testing results depend on the particular testing methodology used, these illustrate that negative entropy in firewalls does occur. This article also provides a list of action items for firewall and network administrators to ensure that firewall defences are adequate.     

智能代理与防火墙自动化测试

防火墙系统是否有效起到防护作用,最根本的方法是对其进行测试.采用了与平台无关的抽象测试描述语言ITCN-3对防火墙测试部署进行描述,通过在智能代理上动态加载防火墙的测试配置脚本,可以适应各种防火墙的自动化测试.对多种中间系统或端系统测试有很好的普适性.     

基于龙芯处理器的网络防火墙系统的设计与实现

设计并实现了一个网络防火墙计算机系统方案。该方案采用国产高性能龙芯2E处理器和Linux操作系统,并对防火墙系统软件的核心策略、硬件结构设计、高速信号完整性设计、网络数据包吞吐率和延时的测试方法等关键问题给出了相应的解决方法。针对信号完整性问题提出了先期约束后期仿真的布线机制,提高了高速信号系统板级设计的可靠性。给出了网口数据包吞吐率和延迟这两项评估防火墙性能的关键指标的测量和计算方法。板级仿真和实际网络性能测试数据表明,该方案是一个通用且安全可靠的防火墙系统方案。     

防火墙的安全性分析

防火墙作为最广泛采用的安全产品为网络安全的不同方面提供了不同程度的防护功能。该文从防火墙的安全技术分析入手,对其安全防护性能进行评估,剖析了常见的防火墙攻击手段,深入阐述了四类防火墙技术的原理、特点以及实现方法,同时针对防火墙不同的安全性能,归纳并总结了防火墙所采用的常用安全措施,最后指出了目前防火墙技术存在的弱点。     

一种硬件加速型融合防火墙包处理流程的设计与实现

针对硬件加速型融合防火墙,在保证其功能完善的基础上,设计并实现了一种可充分发挥系统性能的包处理流程.对各设计要点进行了详细说明并给出了设备性能测试结果.     

一种嵌入式防火墙安全保护创新机制

传统的防火墙通常是在内部网络与外部网络之间实现保护机制,通过对输入和输出网络的数据包进行实时监测,一旦发现安全威胁便会立刻做出防护响应,具有数据处理时间短、效率高等特点,能够满足大多数操作程序的应用,但是也存在成本高、实现难等弊端.论文针对以上问题,提出了一套基于AMR处理器的嵌入式防火墙安全保护创新机制,给出了嵌入式防火墙的总体框架及软硬件架构设计,选用了性能良好的S3C2410X嵌入式芯片,对嵌入式防火墙的网卡驱动、应用程序的关键技术进行详细研究,对基于AMR处理器的嵌入式防火墙的通信性能进行了对比测试,其通信速率可达15.5Mpbs左右,比一般的处理器通信性能提高2.15倍.     

试论计算机网络安全中的防火墙技术

随着我国计算机网络技术的不断快速发展,其在推动我国社会信息化脚步的同时,也给我国信息化时代带来了巨大的安全隐患。目前,在信息化的时代背景下,网络安全问题已经成为了人类所必须共同面对的首要问题和挑战。而随着防火墙的诞生,大大提升了网络的安全性能。本文首先简要介绍了防火墙在计算机网络安全中的工作原理,之后进一步分析了防火墙的具体作用,后又结合实际,分析防火墙在网络安全中的应用,最后对全文进行全面的总结与概括。     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

Automated policy generation for testing access control software

Access control systems (ACS) are a critical component of modern information technology systems and require rigorous testing. If the ACS has defects, then the deployment is not secure and is a threat to system security. Firewalls are an important example of an ACS, and formally verifying firewall systems has recently attracted attention. We present an automated software-testing tool, PG, for the production of firewall policies for use in firewall policy enforcement testing. PG utilizes a number of heuristic techniques to improve space coverage over traditional systems based on randomly generated firewall policies. An empirical study is presented demonstrating that PG generates firewall policies with superior coverage compared to traditional policy-generation techniques. The extension of PG beyond firewall systems to other ACS situations is outlined.