面向HTTP协议的防火墙设计与实现

分析了防火墙系统中分组过滤技术和代理服务技术存在的安全性缺陷，指出了HTTP协议身份验证方案存在的问题。基于证书中心和安全通道设计与实现了一个面向HTTP协议的安全的防火墙系统，其中身份识别依赖于证书中心发放的数字证书，并具有安全通讯的安全通道。     

基于专用协议栈的防火墙网关研制

以netfilter网络防火墙为例,分析基于通用TCP/IP协议栈的防火墙网关的实现和存在问题,进而提出了基于专用协议栈的防火墙网关的设计和在Linux系统上的实现。     

防火墙的身份认证模块的设计方法探讨

本文分析了防火墙的访问控制,并且通过测试防火墙身份验证的存在的诸多需要改善的地方。对于防火墙身份验证的设计方案的探讨,我在这里提出了一个全新有效的方法,通过结合防火墙技术、PKI技术,实现PKI技术支持下的身份认证系统的设计方案实现功能。身份认证功能这个模块,设计的是完全独立的这样一个身份认证系统,通过应用程序层服务,和网络资源的访问控制来实现一个安全性比较高的要求。验证身份服务器、客户端和应用程序的身份验证系统这三个部分,这里具有一些好的特点：采用协议分离技术和身份验证系统的结合,通过不一样的身份验证协议来满足不同需求,从而较好地达到高灵活性,可扩展性强的一个新的认证技术。基于明确的身份认证模块的研究防火墙的设计理念,身份认证模块基于防火墙的一个具体设计,涉及问题的考虑以及解决问题策略方法。     

嵌入式防火墙系统的实现

针对目前日益突出的网络安全问题,尤其是内部网安全问题,文章对现有安全技术所普遍存在的若干隐患与不足进行了深入地探讨,并提出了一种崭新的安全体系结构──嵌入式防火墙系统（EFS）,该模型以基于Kerberos协议的认证模块为核心,并集授权、安全数据传输和审计等机制于一体。     

绕过防火墙的攻击手段及其防护技术

介绍了协议隧道和如何利用它绕过防火墙对网络系统进行攻击,并给出了相应的对抗技术。还讨论了传统防火墙的一个设计缺陷,提出了基于隐式标记的防火墙系统。这种防火墙系统能够对信息进行较粗粒度的安全标记,可以在很大程度上对抗上述攻击。     

Linux2.4内核防火墙的连接跟踪技术

从理论上深入论述了防火墙的实现原理和Linux操作系统下内核防火墙Netfilter的框架实现,以及防火墙的包过滤和状态检测等技术.针对网络存在的安全隐患,制定了相应的安全策略.通过对防火墙技术发展趋势的研究,并结合实际工作中碰到的一些问题,提出了防火墙系统的设计要求,增强了防火墙的易管理和快速响应性.     

Linux2．4内核防火墙的连接跟踪技术

从理论上深入论述了防火墙的实现原理和Linux操作系统下内核防火墙Netfilter的框架实现,以及防火墙的包过滤和状态检测等技术。针对网络存在的安全隐患,制定了相应的安全策略。通过对防火墙技术发展趋势的研究、并结合实际工作中碰到的一些问题,提出了防火墙系统的设计要求,增强了防火墙的易管理和快速响应性。     

基于IPv6的防火墙设计

IPv是下一代的IP协议,它的提出解决了现有协议的一些安全问题,它可在网络层支持对每个分组的认证和加密,它的应用将对现有的防火墙机制产生影响。文中介绍了基于IPv6协议的防火墙的设计,并对常见的三类防火墙系统进行了改进。改进后的系统除了具有目前防火墙系统的分组过滤和应用代理等功能外,还能够实现对IP数据报的源地址的认证,分组内容的完整性检验,以及对分组的加解密。     

基于IPv6/IPv4环境下防火墙的设计与实现

IPv6的新特点和应用对现有的安全设备结构提出了挑战。同时,从IPv4升级到IPv6是一个长期的过程,两种协议在一定时间内将共同存在。因此,需要设计支持IPv4/IPv6双协议的防火墙以适应过渡时期的需要。本文分析了IPv4到IPv6的过渡策略,并设计与实现了支持IPv6/IPv4协议的防火墙系统。     

基于嵌入式的网络与信息安全防火墙的设计与实现

本文介绍了IPV6协议族,分析了嵌入式防火墙研究现状和技术指标,研究了并设计了IPV6下嵌入式防火墙的硬件系统,完成了防火墙的软件系统的实现。     

防火墙与校园网的安全策略

本文阐述了防火墙系统及安全策略,重点论述了构建校园网防火墙时所涉及的各种问题, 并给出防火墙系统拓扑结构和设计实例。     

基于ARM处理器的嵌入式防火墙设计与实现

基于软件实现的分布式防火墙存在“功能悖论”,基于专用网络处理器的硬件防火墙成本较高、难以普及到网络末端。该文针对以上问题,提出一种基于ARM处理器的嵌入式防火墙设计方案,采用核心板＋扩展板的分板设计,进行U—Boot的定制、嵌入式操作系统的移植、网卡驱动及包过滤引擎的实现。实验结果表明,该防火墙实现成本小、处理速度快,在其硬件平台上可进行后续安全软件的开发。     

移动IPv6安全防火墙系统研究

针对防火墙在移动IPv6网络中所面临的问题，提出一种安全防火墙系统。并引入数字签名和数字证书组合的混合认证方法，对来自防火墙外部未经授权的特定报文进行有效认证，可以很好解决MIPv6所面临的安全问题     

基于防火墙钩子的IPSec VPN研究与实现

针对采用网络驱动接口规范（NDIS）实现IPSec VPN系统过程中存在的问题,提出一种基于防火墙钩子的IPSecVPN系统,研究了Windows网络层防火墙钩子数据包过滤技术,将IPSec封包处理提升到网络层中加以实现。该系统能有效解决由NDIS实现方式引起的MTU处理、路由和数据包分片、重组等问题,提高了系统处理效率,且具有较好的应用特性。     

基于分布的嵌入式防火墙的设计与实现

分布式防火墙是网络防护的一个重要的新途径。它提供了严密的访问控制,从而增强了传统边界防火墙所提供的保护。该文介绍了一种新的分布的嵌入式防火墙,它对出入主机的IP包进行过滤。因为防火墙独立于主机的操作系统,所以它是防篡改的。它在主机的网络插件上实现,并由位于网络的其他地方的受保护的中心策略服务器管理。     

新的防火墙解决方案——分级防火墙系统

该文分析了现有防火墙技术中存在的问题,提出了新的解决方案———分级防火墙系统。并对分级防火墙的体系结构、管理机制以及系统内的安全访问控制等问题进行了研究。     

IPv4/IPv6双栈防火墙的设计与实现

IPv6的新特点和应用对现有的安全设备结构提出了挑战。同时，从IPv4升级到IPv6是一个长期的过程，两种协议在一定时间内将共同存在。因此，需要设计支持IPv4、IPv6双协议的防火墙以适应过渡时期的需要和IPv6新特点对防火墙的要求。论述了IPv4／IPv6防火墙的设计需要考虑的防火墙位置、IPv6与IPv4的差异及性能，然后介绍防火墙实现的步骤和将要进行的工作。     

基于IPv6的入侵检测与防火墙联动系统

网络安全中入侵检测与防火墙的联动是研究的热点,目前已经实现的联动系统多局限于IPv4网络,该文基于IPv6网络的防火墙和入侵检测系统,提出一种分布式的网络安全防护体系,通过设置入侵检测代理和集中控制服务器,分析检测到的入侵状况信息后主动调整防火墙的规则策略,实现支持IPv6/IPv4双协议的入侵检测与防火墙动态联动。测试结果表明,系统有效可靠。     

基于日志挖掘的防火墙安全测评方法

针对当前防火墙存在的安全问题,分析并比较现有防火墙安全测评方法,提出了一种基于日志挖掘的防火墙安全测评方法.基于现有标准和实际安全需求,提取防火墙安全测评指标体系,并采用相应的日志挖掘算法,发掘出关联数据,再利用测评分析算法,分析防火墙的安全策略是否符合相应指标要求,为其安全整改提供参考建议.该方法借鉴了数据挖掘的思想,审计日志分析也能够真实反映防火墙的安全问题,同时通过改造决策树算法,优化了安全测评的效率.实验结果表明,提出的测评方法能够有效分析防火墙的配置策略问题.