P2PSIP系统中NAT穿越方案的研究与设计

P2PSIP系统整合了P2P技术和SIP协议的优势,是当今网络技术领域的热门应用之一.作为端到端的应用,NAT穿越是P2PSIP系统所必须解决的关键问题之一.首先概述了NAT的由来、工作原理及NAT的各种常见类型;然后阐述了系统中信令穿越NAT和媒体流穿越NAT所面临的问题;随后分析了当前各种NAT穿越方法的优缺点,在此基础下提出一种P2PSIP结点穿越NAT的方案:STUN+TURN方式,并在扩展会话描述协议SDP的基础上对该方案进行了详细设计.采用该方案的P2PSIP系统可以实现正常的VoIP通信.     

NAT为内部网设防

现在NAT(网络地址转换Network Address Translating)技术已经应用到各个领域,前段时间搞得轰轰烈烈的蜜罐系统也是使用NAT技术来实现的,其实NAT技术在Cisco中早就实现了。     

基于SIP的VoIP穿透NAT方法的研究与实现

随着VoIP技术的发展,NAT穿透技术已成为重要研究课题,本文首先介绍了NAT类型,然后对当前多种比较流行的NAT穿透方案进行分析,根据这些方法的优缺点,最后提出ICE穿透NAT的解决方案,介绍其算法流程,设计并实现了ICE的客户端和服务器系统。     

一种新型的NAT系统的实现机制与性能分析

NAT技术是IETF提出的有效解决IPv4面临的网络地址枯竭问题的方案之一.由于传统的基于GP-CPU或ASIC的NAPT处理复杂、负荷过重而造成性能瓶颈,本文提出了一种基于可编程网络处理器IXP2400的NAT/NAPT的实现方案,并设计、实现了基于两块Intel IXP2400所组成的具有安全防火墙功能的NAT系统.针对该NAT系统进行了性能分析,它实现了基于有效的全局地址或用户配置的饱和度来执行NAT模式与NAPT模式的动态切换,而且能够支持六十多万并发TCP/UDP的连接容量与全线速为2Gb/s以太网连接速率,同时又成功地实现了网络地址复用,有效地提高了NAT/NAPT的操作速度,克服了传统NAT实现方案中的性能瓶颈.     

基于Intel IXP2400和GP-CPU的NAT系统的设计和实现

提出了一种基于可编程网络处理器IXP2400和GP-CPU的NAT/NAPT的实现方案,设计并实现了基于Intel IXP2400和GP-CPU所组成的具有安全防火墙功能的NAT系统。针对该NAT系统进行了性能分析,它能够支持六十多万并发TCP/UDP的连接容量与全线速为2Gb/s以太网连接速率,有效提高了NAT/NAPT的操作速度,克服了传统NAT实现方案中的性能瓶颈。     

一种无服务器NAT穿越技术

当前主要的NAT穿越技术在实现上都各有优劣,可以分别应用于不同的场合,但是还没有针对小型即时通信系统的穿越技术,因此本文在充分分析小型即时通信系统特性的基础上,以UDP打洞技术为基础,结合应用层多播采用端系统实现数据转发的方式,提出了一种无服务器的NAT动态穿越技术,并通过实验验证了该技术的有效性,总结出DNA协议在实现小型即时通信系统的NAT穿越上的优越性。     

基于PC架构Linux NAT性能优化

随着校园网规模的扩大,有必要采用NAT技术来解决所获分配合法IP地址有限的问题。首先,该文阐述了采用Netfilter/iptables技术来实现NAT的缘由,并分析了此项技术在Linux内核2.4中的一个重要新特性,即“连接跟踪”;接着,着重讨论了提高基于配有Linux操作系统的普通PC机上的NAT性能的方法,包括重编内核,防止空对话及修改tcp连接超时设定;最后,通过一组系统状态监测曲线图证明这样一个廉价系统作为一些昂贵的路由设备的替代是稳定可靠的。     

基于局域网私设NAT场景发现与管控系统的研究

近年来,运检数字化大规模推广,随之带来的网络资源需求不断增长,网络安全防护要求也不断提高。为适应不断扩展的数字化业务,改善变电站数字化网络质量,解决现有Ⅳ区IP地址资源匮乏的阶段性客观难题,各种技术手段层出不穷,各有优劣,其中NAT技术最为常见,使用范围最广;为提升网络安全性能水平,确保变电站网络资源的安全高效利用,通过对变电站（供电所）私设NAT场景进行研究,设计变电站（供电所）局域网私设NAT场景发现与管控系统,将变电站及供电所相关IP地址规划导入系统,系统通过数据流截取方式分析网络中所有的NAT场景,最终实现网络管理员对网络私设NAT场景分类管理。通过技术手段有效掌握网络中的私有NAT数量及私有IP地址使用情况,提高网络的安全性,在发生安全事故时,准确地进行溯源工作。     

VoIP电话终端穿越NAT技术的研究

VoIP技术在近几年发展非常迅速;在NAT后的电话终端怎样穿越NAT成为通信系统能否正常工作的关键。利用将网守和VoIP电话终端的H.323协议栈进行扩展是穿越NAT的技术关键,但同时也带来了网守负荷增加的问题。     

基于IPv4／IPv6隧道技术的NAT研究

针对NAT用户的IPv6隧道技术应用进行分析,指出其存在的不足;提出基于客户端-服务器隧道模式和服务器有状态特性的一种改进IPv6隧道技术,该方案能够为NAT用户分配固定IPv6地址,支持对称类犁的NAT用户,同时也提高了NAT用户安全性.     

一种内网端点安全系统的设计

当前很多企业部署了内部网络,并将内网作为信息发布和共享的平台,确保内网安全和端点安全的要求与日俱增,随着攻击工具和手段的日趋复杂多样,传统的防范手段已不能保证内网安全和端点安全。文章针对端点安全,研究了对非安全网络端点的识别和隔离方法,提出了一种内网端点安全系统的设计方案,基于现有网络设备和标准协议,可实现入侵检测和访问控制的功能,成本较低、结构简单、管理方便。     

公安边防部队网络信息安全系统建设探讨

根据公安边防部队网络和信息安全现状,确定了以内部核心数据保护为主的网络信息安全系统建设目标,通过加密手段保障内部数据安全,达到数据安全等级保护要求。     

公安边防部队网络信息安全系统建设探讨

根据公安边防部队网络和信息安全现状,确定了以内部核心数据保护为主的网络信息安全系统建设目标,通过加密手段保障内部数据安全,达到数据安全等级保护要求。     

LAN security: problems and solutions for Ethernet networks

Despite many research and development efforts in the area of data communications security, the importance of internal local area network (LAN) security is still underestimated. This paper discusses why many traditional approaches to network security (e.g. firewalls, the modern IPSec or various application level protocols) are not so effective in local networks and proposes a prospective solution for building of secure encrypted Ethernet LANs. The architecture presented allows for employment of the existing office network infrastructure, does not require changes to workstations' software, and provides high level of protection. The core idea is to apply security measures in the network interface devices connecting individual computers to the network (i.e. network interface cards (NICs)). This eliminates the physical possibility of sending unprotected information through the network. Implementation details are given for data and key exchange, network management, and interoperability issues. An in-depth security analysis of the proposed architecture is presented and some conclusions are drawn.     

关于边防部队信息安全的构建之浅谈

根据公安边防部队网络和信息安全现状,确定了以内部核心数据保护为主的网络信息安全系统建设目标,通过加密手段保障内部数据安全,达到数据安全等级保护要求。     

网络信息安全预警监控系统改对与实现

着眼于内网安全,从地址管理、进程状态跟踪、安全软件更新、攻击行为检测、主干线路监测评估等方面建立了一套完整的内网安全预警监控机制,并提出了技术实现方法,有效解决了目前内网安全管理问题,综合提升了网络信息安全预警防护能力。     

基于双核的安全Windows网络驱动程序的研究

提出了一种基于双核的网络安全解决方案,研究并实现了主辅核之间的通信机制和辅核Windows端网络驱动程序。双核的安全Windows终端架构是将安全防护模块移植到嵌入式系统中,可以有效地防止黑客对Windows终端的侵入及终端内敏感信息的流出。驱动程序开发使用的环境为:VC++6.0、Windows Driver Development Kit、DriverStudio3.2。实验证明该方案可以对网络数据包安全分析和过滤,达到Windows终端安全的目的。     

基于Web的RAP安全认证方案

该文介绍了一种新的基于Web的安全远程访问解决方案:安全远程控制系统RAP(RemoteAccessPass)。文章概述了RAP的安全需求,并根据RAP基于Web的特征以及系统模型自身的特点,给出了一种C/S结构的分布式安全认证模型,并设计了基于消息认证码MAC技术的安全认证方案,最后对认证方案的安全性进行了分析和讨论。该方案在不改变防火墙和内部架构的基础上,实现了内部信息系统对外部访问者的安全认证。     

RSVP协议安全策略研究

RSVP协议的安全性直接影响网络的服务质量。该文在已有的几种解决方案的基础上,提出一种既能防止内部攻击又能防止外部攻击的RSVP的安全架构,并用C++语言对主要网络节点算法进行测试,最后对体系的安全性进行分析。     

基于Kerberos协议的分布式防火墙系统的研究

随着网络技术的不断发展,传统的防火墙已经逐渐不能满足网络安全的需要.针对有传统防火墙所带来的问题,提出了一种基于Kerberos认证的分布式防火墙的新型体系结构,在保留传统防火墙优点的基础上,解决了传统防火墙的不安全隐患.为大量内部网络用户,需要重点保护的网络资源提供一个可管理的、分布式的安全网络环境.