Netfilter框架下防火墙模型总体结构设计

由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理时的无政府状态,逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁.防火墙在保护网络安全方面起着重要的作用.在分析目前主流防火墙技术特征及其缺陷的基础上,提出了一种基于Netfilter框架下防火墙模型结构,该模型可以较好解决现存的包过滤过滤机制和代理机制在效率和安全性方面的问题,提高Linux防火墙的可用性.     

基于信任机制的网络防火墙状态检测模型

针对当前网络防火墙状态检测模型的网络安全置信度低,导致防火墙状态检测时间较长,服务器易受到攻击,检测准确率及防火墙安全性较低的问题,提出了基于信任机制的网络防火墙状态检测模型.分析防火墙安全性能,根据信任机制建立置信度,通过自适应阈值算法,判断网络是否存在攻击现象,并对数据包实施预处理,设置包过滤防火墙规则集,运用哈希...     

基于WBEM的防火墙策略异常检测系统

面对网络规模的无限量扩大以及新型攻击的不断出现，企业开始采用多级防火墙机制加强对整个网络的安全保护。然而这种保护机制同时向人们提出了如何保证策略与策略之间无异常的问题。因此，从防火墙底层的规则入手，主要针对防火墙的包过滤规则，定义了规则之间可能存在的异常，同时提出相应的检测算法以及基于WBEM架构的异常检测系统，在解决策略异常问题的同时实现防火墙策略整体上的对外一致性。     

有了防火墙也不等于网络处于十分安全的状态

防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务.可是传统意义上的包过滤防火墙有很多弊端:在通信方面,包过滤防火墙只能访问部分数据包的头信息;在状态监管方面,包过滤防火墙是无状态的,所以它不可能保存来自于通信和应用的状态信息;在信息处理方面的能力也是有限的.     

Internet防火墙及其发展趋势

本文叙述了Internet来自外部、内部、硬件、软件方面的十种安全威胁和攻击，给出了防火墙的限制、隔离、筛选、过滤和屏蔽作用，介绍了防火墙的六种基本结构类型，论述了过滤路由器、双宿主主机、主机过滤、过滤子网和吊带式五种安全结构，分析了传统防火墙的七种不足，给出了目前防火墙混合应用包过滤技术、代理服务技术和其它一些技术的发展趋势。     

一种新型的防火墙系统

利用防火墙技术来增强网络安全性越来越得到人们的青睐,但目前的防火墙技术不能有效地解决网络内部安全的问题。针对这一问题,该文提出了一种新型的防火墙系统－－ＥＲＣＩＳＴ＿Ｂ２防火墙系统,它结合了目前流行的防火墙技术－－包过滤、代理、虚拟网关,并将代理服务器和认证系统建立在Ｂ２级操作系统上,使防火墙技术和操作系统有机地结合起来,从而利用操作系统的安全机制达到解决系统内部安全的目的。     

网络安全中的防火墙使用技术研究

对防火墙策略，高级鉴别机制，包过滤和代理服务器等防火墙使用的技术进行了叙述，并且介绍了包过滤型防火墙，代理服务型防火墙，复合型防火墙，双源主机防火墙和屏蔽主机防火墙的配置，另外，对防火墙的特性和防火墙的局限性也作了说明，最后给出了在Linux平台下实现包过滤防火墙的具体方法。     

一种分布式防火墙过滤策略的异常检测模型

分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并建立了一个过滤策略异常检测的模型。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。     

基于IPv6的防火墙设计浅析

总所周知,IPV6有着很好的安全性,那么既然IPV6这么安全,随着它的推广和使用。那么传统意义上的防火墙是不是就不需要了呢。答案显然是否定的,IPV6虽然安全,但还是无法替代防火墙。但目前常用的防火墙技术,一般只能进行物理上的过滤,如果把IPV6的认证机制和加密机制加入,必将使现有的防火墙有着更好的表现。     

2005年第一季度防火墙产品检测通过目录与测试中的常见问题

公安部计算机信息系统安全产品质量监督检验中心依据《信息技术包过滤防火墙安全技术要求》(GB／T18019—1999)和《信息技术应用级防火墙安全技术要求》(GB／T18020—1999)，对包过滤和应用级防火墙进行检测以来，对于规范防火墙市场，增强国内防火墙产品的安全性，提高防火墙使用单位的信息安全保障能力，起了很大的作用。     

网关——网络安全的门户

防火墙把企业内部网与外部公用网隔开，所以防火墙又被称为一种边界控制机制。在边界控制里，还有另一种方式———网关。这两种机制有很多共同之处，在一般情况下也一起使用。一般情况下，狭义的防火墙是指IP层面的防火墙。事实上，网关可以说是应用层面防火墙（代理服务器）的扩展，除了代理服务器的基本功能如信息过滤功能以外，网关还综合了企业对于安全要求的大部分其它服务，包括访问控制（AccessControl）、用户的认证和授权（Authentication＆Authoriza－tion）、病毒检测（VirusScan）、内容过滤（ContentFiltering）、防止封…     

嵌入式Linux防火墙系统研究与实现

为了构建安全可靠的网络,同时降低使用防火墙的成本,对Linux2.4内核防火墙结构Netfilter的实现机制进行了深入的研究和分析,并利用该机制设计实现了一个嵌入式Linux防火墙系统,该防火墙实现完善了包过滤、URL过滤、NAT和日志等防火墙基本功能,同时集成了非军事区（DMZ）,为Internet和Intranet之间建立了缓冲地带,以保证Intranet的安全。此外,该防火墙系统还集成了状态检测技术,可在内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性,并提供友好的管理配置界面。     

FICoM:一种防火墙和入侵检测协同工作的模型

防火墙和入侵检测是当前最为常用的安全技术。因为它们在功能上互为补充,所以在许多安全解决方案中结合使用防火墙和入侵检测技术。但是,这种结合却也引入了入侵检测系统检测不到已被防火墙过滤掉的来自外网的攻击等问题,这必须由这两个系统间的通信来解决;另外,防火墙和入侵检测有功能上相同的模块,若分别实现、独立使用这两个系统就忽略了信息的可复用性,造成资源的浪费。因此,该文提出了一种防火墙和入侵检测协同工作的安全构架模型FICoM及其设计。     

Web内容过滤实现方法的研究

介绍了Web内容过滤的技术原理以及如何通过防火墙实现的方法。通过所设计的"内容过滤模型"体现出"用防火墙实现内容过 滤"的优势。该模型把URL过滤和文本关键词过滤二种技术相结合。在不降低过滤精度的基础上提高了过滤速度。还论述了对经典过滤算法 以及参数设置的改进,最后以实例介绍在防火墙上的实现方法。     

浅谈第三代防火墙技术

防火墙是由网络管理人员为保护自己的网络免遭外界非授权访问但又允许与Ｉｎｔｅｒｎｅｔ连接而发展起来的。从网际角度讲,防火墙是在两个网络之间执行控制策略的系统,目的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务往来的网络通信安全机制,提供可控的过滤网络通信。防火墙所用的主要技术有包过滤、状态检测、电路层网关、应用网关、代理服务等前三种主要工作在网络层,后两种则在应用层。将包过滤和代理服务结合起来,使应用层和网络层均引入防火墙机制,也是提出第三代防火墙技术的一个出发点。下面我们就来说明…     

基于堡垒主机防火墙的安全模型研究

随着互联网的高速发展,网络安全变得至关重要,这方面又对目前的防火墙技术提出了更高的要求。本文分析了防火墙堡垒主机过滤的体系结构,提出了九种基于堡垒主机防火墙的安全模型,并对其进行了深入探讨。     

基于netgraph机制的内容过滤防火墙体系架构

目前防火墙实现技术中关于数据包的处理方法，基本上都是采用BPF的包过滤算法，数据包的传送采用复制的方式，增加了不必要的负荷。本文利用FreeBSD操作系统下的netgraph机制，针对内容过滤防火墙，提出了基于netgraph机制的内容过滤防火墙体系架构，并且在操作系统内核实现了内容过滤核心算法。最后通过实验数据验证了体系结构的合理性。     

防火墙技术的演变

在所有安全产品中,防火墙无疑占据的市场份额最大。之所以防火墙用得比较广泛,是因为防火墙是内部网和外部网之间的第一道闸门,防火墙在网关的位置过滤各种进出网络数据,以保护内部网主机。因此,防火墙被寄予了很高的期望,希望防火墙能对数据包进行过滤,能抗击各种入侵行为,能对病毒进行过滤,能记录各种异常的访问行为,能进行带宽分配,能过滤恶意代码和数据内容等等。人们甚至希望,有了防火墙之后,就能解决所有安全问题。从现有很多防火墙的功能来看,防火墙似乎无所不能。上面提到的这些功能,在不同防火墙中都有实现。本文将对防火墙的技术…     

组合出入口访问控制的防火墙系统研究

针对军事网络特殊安全需求,提出了一种组合出人口访问控制的网络边界安全防护手段,在抗网络攻击方面,采用包过滤防火墙与基于神经网络和基于协议分析和规则匹配的入侵检测技术相结合的方法,提高入侵检测的准确性;在防信息泄密方面,在出口访问控制中引入身份认证机制及内容审查和过滤机制,可建立更灵活的安全审计和访问控制策略,有效阻截敏感或涉密信息外泄,实现对泄密源的有效跟踪。     

一种嵌入式实时分布计算系统的安全策略设计

本文介绍了一种基于防火墙和安全分布式操作系统的,嵌入式实时分布计算系统的安全策略设计,其中由包过滤路由器和堡垒主机构成的防火墙屏蔽来自系统外部的攻击,防火墙中包含了IPSec协议安全机制。分布计算系统内部的安全保障则源自扩充了安全服务的分布式操作系统。