一种嵌入式防火墙安全保护创新机制

传统的防火墙通常是在内部网络与外部网络之间实现保护机制,通过对输入和输出网络的数据包进行实时监测,一旦发现安全威胁便会立刻做出防护响应,具有数据处理时间短、效率高等特点,能够满足大多数操作程序的应用,但是也存在成本高、实现难等弊端.论文针对以上问题,提出了一套基于AMR处理器的嵌入式防火墙安全保护创新机制,给出了嵌入式防火墙的总体框架及软硬件架构设计,选用了性能良好的S3C2410X嵌入式芯片,对嵌入式防火墙的网卡驱动、应用程序的关键技术进行详细研究,对基于AMR处理器的嵌入式防火墙的通信性能进行了对比测试,其通信速率可达15.5Mpbs左右,比一般的处理器通信性能提高2.15倍.     

企业是否需要虚拟防火墙?

企业安全的虚拟化漏洞越来越严重。虚拟防火墙可能是一种解决方法,但是还有许多因素需要考虑。什么是虚拟防火墙?虚拟防火墙是虚拟设备,它复制了物理防火墙的功能,运行在与所保护工作负载相同的虚拟环境中。因为它位于虚拟环境之中,所以它可以对通过物理网络的流量应用安全策略,实现安全性而又不影响虚拟化的灵活性。虚拟防火墙不管虚拟机(VM)是否在数据中心内,还是飘到基础架     

防火墙的革命时代

防范网络攻击,最常用的对策是构建防火墙。利用防火墙技术,经过仔细的配置,通常能在内外网之间实施安全的网络保护机制,降低风险。     

VPN拓扑中关联控制技术的研究

网络拓扑的安全性是保障网络服务安全的核心研究内容;尤其在虚拟私有网络（VPN：Virtual Private Network）拓扑中,由于VPN的隧道技术、私有路由技术和加密技术,一方面使得内部服务群暴露在Internet中,另一方面增加防火墙和入侵检测系统（IDS：Intrusion Detection System）保护内部网络的难度。为此,本文提出以VPN网关为中心,协同用户终端、防火墙、IDS和内部的应用服务,构建的多层安全防护机制——关联控制机制（CCM：Correlative Control Mechanism）。CCM将终端延伸、IDS关联和应用引擎三者关联,使得VPN防护构成一个关联整体,提高了网络拓扑的安全性。     

Netfilter框架下防火墙模型总体结构设计

由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理时的无政府状态，逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁。防火墙在保护网络安全方面起着重要的作用。在分析目前主流防火墙技术特征及其缺陷的基础上，提出了一种基于Netfiher框架下防火墙模型结构，该模型可以较好解决现存的包过滤过滤机制和代理机制在效率和安全性方面的问题，提高Linux防火墙的可用性。     

免疫机制在计算机网络入侵检测中的应用研究

随着现代科技的不断发展,人类已经步入一个网络化的时代,伴随短时间内计算机网络的迅速扩大,信息安全面临着不断增多的非法入侵等巨大考验。免疫机制的出现,改变了传统的防火墙和权限管理对网络信息安全的保护不足的问题,是一种全新的网络安全保障措施。该文针对免疫机制在计算机网络入侵检测中的应用展开讨论,对免疫机制在目前计算机网络中应用的现状进行分析,并提出改进意见。     

Netfilter框架下防火墙模型总体结构设计

由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理时的无政府状态,逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁.防火墙在保护网络安全方面起着重要的作用.在分析目前主流防火墙技术特征及其缺陷的基础上,提出了一种基于Netfilter框架下防火墙模型结构,该模型可以较好解决现存的包过滤过滤机制和代理机制在效率和安全性方面的问题,提高Linux防火墙的可用性.     

一种防火墙平台的内核引导安全机制

针对现有防火墙技术的不足,提出一种防火墙平台与防火墙应用技术结合的防火墙体系结构。在此体系中,需要一个安全可靠的内核引导机制。该机制利用特有的方法找到并完整地读入平台的内核映像,为防火墙程序的运行提供良好的环境。阐述了该内核引导机制的设汁与实现。     

Ipv6环境下的网络威胁与安全机制的研究

IPv6是下一代互联网的核心协议。本文在分析了IPv6网络安全隐患分析的基础上,重点研究了IPv6的网络安全机制,包括IPsec保护通信机制、时间戳重放保护机制、虚拟专用网机制以及返回路径可达机制等,为IPv6在通信网络中的应用提供一定的参考价值。     

Xen系统中CPU间歇性故障的自适应策略

Xen虚拟化环境没有考虑CPU的间歇性故障带来的影响。基于此,建立模拟CPU间歇性故障的时间模型,在该模型下未修改的Xen系统中的虚拟机会立刻崩溃。提出一种自适应的策略来改进Xen的CPU调度,该策略主动跟踪CPU的状态变化,将发生故障的CPU上的虚拟处理器迁移到可用的其他CPU上。实验结果表明,当CPU间歇性故障频繁发生时,应用该策略可以使虚拟机继续稳定地工作,性能平滑地降低。     

基于龙芯处理器的网络防火墙系统的设计与实现

设计并实现了一个网络防火墙计算机系统方案。该方案采用国产高性能龙芯2E处理器和Linux操作系统,并对防火墙系统软件的核心策略、硬件结构设计、高速信号完整性设计、网络数据包吞吐率和延时的测试方法等关键问题给出了相应的解决方法。针对信号完整性问题提出了先期约束后期仿真的布线机制,提高了高速信号系统板级设计的可靠性。给出了网口数据包吞吐率和延迟这两项评估防火墙性能的关键指标的测量和计算方法。板级仿真和实际网络性能测试数据表明,该方案是一个通用且安全可靠的防火墙系统方案。     

Xen虚拟网卡自适应中断调度优化策略

对于Xen网络工作模式来说,高负荷网络环境下大量的CPU资源将会被频繁到达的网卡中断占用,导致系统遭遇性能瓶颈,提出一种可以根据网络繁忙程度进行轮询的中断自适应调整机制,通过定义面向两种优先级不同的虚拟缓冲区,根据缓冲区中数据队列长度进行判断处理,以保证不同业务的服务质量。该机制不需要增加额外的处理单元。实验表明,当外部网络数据频繁到达时也不会引发过多的CPU中断,从而提高了CPU的利用率。     

虚拟蜜网诱骗系统设计

展示蜜罐的一些基本概念和主要的关键技术,给出了一个虚拟蜜网诱骗系统设计.利用虚拟机技术虚拟了系统的操作系统、网络环境,对相关的防火墙和IDS进行设置,利用数据包捕获机制对攻击数据进行收集、分析和记录.     

防火墙在网络安全中的应用

本文从多方面描述了防火墙在网络安全中的应用,目的在于为用户提供信息的保密和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。     

一种基于DOM盘的安全Linux系统的设计与实现

提出并实现了一种基于Linux的安全操作系统模型——NisecLinux。该系统以DOM（Disk on Module）盘为存储介质,实现了基于网络访问的强制访问控制机制。通过防火墙和入侵检测系统的联动大大增强了系统的安全防护能力;通过VPN技术使数据传输的安全性得到了保障;精简了内核和文件系统,使系统本身的性能得到改善;使用DOM盘加强其物理安全性。该系统在安全性方面达到了系统审计级的标准。     

Application of evolutionary algorithm in performance optimization of embedded network firewall

With the development of the network, the problem of network security is becoming increasingly serious. The importance of a firewall as the "first portal" to network security is obvious. In order to cope with a complex network environment, the firewall must formulate a large number of targeted rules to help it implement network security policies. Based on the characteristics of the cloud environment, this paper makes in-depth research on network security protection technology, and studies the network firewall system. The system implements unified configuration of firewall policy rules on the cloud management end and delivers them to the physical server where the virtual machine is located. Aiming at the characteristics of virtual machines sharing network resources through kernel bridges, a network threat model for virtual machines in a cloud environment is proposed. Through analysis of network security threats, a packet filtering firewall scheme based on kernel bridges is determined. Various conflict relationships between rules are defined, and a conflict detection algorithm is designed. Based on this, a rule order adjustment algorithm that does not destroy the original semantics of the rule table is proposed. Starting from the matching probability of the rules, simple rules are separated from the default rules according to the firewall logs, the relationships between these rules and the original rules are analyzed, and the rules are merged into new rules to evaluate the impact of these rules on the performance of the firewall. New rules are added to the firewall rule base to achieve linear firewall optimization. It can be seen from the experimental results that the optimization strategy proposed in this paper can effectively reduce the average number of matching rules and improve the performance of the firewall.     

基于任务分类的虚拟CPU调度模型

为了桥接语义鸿沟,提升I/O性能,需要对执行不同类型负载的虚拟CPU（vCPU）采取不同的调度策略,故而虚拟CPU调度算法亟需优化。基于KVM虚拟化平台提出一种基于任务分类的虚拟CPU调度模型STC（virtual CPU scheduler based on task classification）,它将虚拟CPU（vCPU）和物理CPU分别分为两个类型,分别为short vCPU和long vCPU,以及short CPU 和long CPU,不同类型的vCPU分配至对应类型的物理CPU上执行。同时,基于机器学习理论,STC构建分类器,通过提取任务行为特征将任务分为两类,I/O密集型的任务分配至short vCPU上,而计算密集型任务则分配至long vCPU上。STC在保证计算性能的基础上,提高了I/O的响应速度。实验结果表明,STC与系统默认的CFS相比,网络延时降低18%,网络吞吐率提高17%~25%,并且保证了整个系统的资源共享公平性。     

基于代理的入侵检测系统的设计与实现*

入侵检测技术是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,它能对计算机和网络资源的恶意使用行为进行识别和响应。在HTTP代理服务技术和入侵检测技术基础上,设计了基于代理的入侵检测系统原型PBIDS,将防火墙技术和入侵检测技术合二为一,克服了传统防火墙技术和入侵检测技术孤立应用的局限性,提供了集成化的访问控制、检测和响应功能。     

状态检测防火墙中几种协议的结构设计

介绍了防火墙的发展及各类防火墙的特点,分析了状态检测防火墙的工作原理,建立了状态表和规则表的数据结构,提出了一个基于状态检测的硬件防火墙中协议的整体框架设计。在考虑防火墙安全和速度性能的前提下,给出针对TCP,UDP,ICMP和ARP等TCP/IP协议栈中主要协议的状态检测的结构设计,采用TCP序列号检查、UDP虚连接、ICMP数据包检测引擎等办法保证网络的安全性和高效性。