基于Netfilter的被动测量方法

给Linux内核和iptables打补丁，在iptables的过滤表中添加PROMISC规则链。基于这个原理，设计和实现了一种网络被动测量方法，通过和用户层网络测量程序相比较，该方法提高包捕获效率，降低丢包率。     

新会有线宽带网登录认证系统及其维护

本文介绍了新会有线HFC宽带网的登录认证系统的结构原理以及使用维护经验,其中登录认证系统由基于Linux下的IP包过滤防火墙＋Socket服务守护进程＋客户登录软件所构成,后台管理系统为ASP＋组件构建的B／S结构Web应用程序。     

Netfilter／Iptables性能优化探究

Netfilter／Iptables系统是Linux下的一个功能强大的防火墙系统,本文主要分析iptables的工作原理以及数据包通过iptables的流程,接着分析了影响iptables性能的因素,最后在此基础上提出几种简单的方法来优化iptables防火墙的性能,以达到解决防火墙性能瓶颈问题的目的。     

基于Netfilter／iptables的IP地址隐藏技术研究

随着Internet的迅速发展,网络中因为IP地址信息泄漏而遭受的攻击日益严重。通过代理服务器来隐藏内部网络设备IP地址的传统方式,不仅影响数据传输速率,而且其本身也易成为攻击的目标。针对这一亟待解决的问题,基于Netfilter／iptables模块和IP地址替换技术,在Linux环境下通过DNAT和SNAT,以及多线程系统调用的方式实现了静态IP和DHCP动态分配IP的地址信息隐藏。通过网络实验证明,达到了预期的目的。     

基于操作系统内核的包过滤防火墙系统的设计与实现

主要研究如何通过基于Windows操作系统内核的包过滤防火墙系统来实现网络安全防护.基于操作系统内核的包过滤防火墙系统是基于网络层实现的包过滤防火墙系统,该系统要求能够对所有进出计算机的IP数据包进行灵活控制,实现包过滤的核心问题是如何截获所有的IP数据包.首先介绍了包过滤防火墙的基本结构和原理,然后在剖析操作系统内核的基础上,研究并设计了基于Windows操作系统内核的包过滤防火墙系统.     

基于netfilter/iptables和TC的LAN防火墙设计及流量控制

分析了Linux内核netfilter/iptables模块实现防火墙以及流量控制(TC)模块实现流量控制的原理和基本语法规则,在此基础上,针对小型局域网(LAN)提出了一套网络管理系统。该系统利用iptables实现防火墙及网络IP地址转换功能,并利用基于分层令牌桶队列规定的TC实现流量控制功能。实验结果表明,结合iptables和TC的网络管理系统能够有效保护网络安全,合理限制网络设备带宽,进而保障局域网服务质量。     

敏感网站过滤系统的研究与设计

针对Linux系统的Netfilter框架在IP包过滤和连接跟踪方面的不足,综合考虑家庭网关对含有敏感词的网站进行过滤时的特定需求,设计一款针对家庭用户的对含有敏感词的网站进行过滤的防火墙.同时对Linux的Netfilter框架进行简要的阐述,提出它在该款防火墙中存在的不足,针对不足提出一种有效的设计方案,并分析了新方案的改进内容.     

Netfilter/Iptables性能优化探究

Netfilter/iptables系统是Linux下的一个功能强大的防火墙系统,本文主要分析iptables的工作原理以及数据包通过iptables的流程,接着分析了影响iptables性能的因素,最后在此基础上提出几种简单的方法来优化iptables防火墙的性能,以达到解决防火墙性能瓶颈问题的目的。     

可添加规则的创新防火墙设计与实现

个人防火墙一般都是采用包过滤的方式实现的,且大多数的包过滤防火墙只在应用层过滤数据包,不能捕获所有的数据包,安全性较低;而采用内核层的IP过滤钩子驱动则能对所有IP数据包进行过滤,安全性较高。在制定包过滤防火墙的过滤规则前,用户往往需要捕获流经当前主机的数据包进行分析,尽可能地判断出哪些数据包是病毒、木马等非法数据,然后有针对性地制定防火墙规则,才能更有效地阻断恶意数据,保证合法数据的安全。文章正是针对以上两个方面,开发了一个融合抓包和包过滤于一体的防火墙。该防火墙利用内核模式下的IP过滤驱动,来实现防火墙的包过滤功能,提升防火墙的安全性和健壮性。同时调用Winpcap库中的函数,在程序上添加一个抓包模块,为分析数据、制定防火墙规则提供方便。     

Iptables包过滤技术及其在机载网络上的实现

针对机载无线信息系统可能由地面网络技术引入网络安全威胁,因此机载网络需要对数据包进行过滤,根据规则限制数据传输。阐述了Iptables的工作原理,分析数据包过滤的规则操作及数据包的传输过程,及其在机载网络上的应用环境。对用Iptables在Linux上实现丢弃某IP数据包和阻止相关网页访问请求进行实验,在此基础上对基于Iptables的包过滤技术进行研究。     

Research on network address mapping algorithm in IPv6 private network

Internet protocol version 6 (IPv6)-to-IPv6 network address translation (NAT66) is a new technology, which is proposed to provide the address independence benefit associated with IPv4-to-IPv4 NAT (NAT44) while minimizing the problems. Some corporate network managers may deploy NAT66 in their internal IPv6 network to hide their topology, to utilize multi-homing and so on. This paper introduces the checksum-neutral two-way network address mapping algorithm used in ANT66 to solve the problem of network translation from an IPv6 address to another in global systems engineering (GSE) mode and implements it both in a Linux host and a customer-provided equipment (CPE) router with netfilter/iptables. Meanwhile, this paper gives the experimental results in IPv6 network to show the performance.     

利用Netfilter构建防火墙

介绍了防火墙的相关知识,重点分析了netfilter的架构及其构建防火墙的工作原理,讲解了netfilter的配置工具iptables及其与内核的交互,最后说明了netfilter扩展功能的开发方法,并给出了一个实例。     

Linux环境下基于gtk的录制/回放工具的设计和实现

Linux系统的图形库不象Windows有统一的标准，因此Linux系统下黑盒测试工具开发需要考虑自身的特点。文章提出了一种Linux环境下的基于映射方法的通用的录制回放技术，该技术已在Red Hat和Red Flag Linux中实现。     

嵌入式Linux根文件系统的研究

在嵌入式Linux系统中,根文件系统是构建嵌入式Linux系统的重要组成部分,是Linux／Unix系统不可或缺的组件。这里从Linux根文件系统底层出发,详细分析根文件系统的组成和如何利用Busybox配置完整的根文件系统,并给出了启动脚本和配置文件以实现简单的根文件系统,并且以Cramfs和Jffs2为例详述了根文件系统的制作过程,为其他文件系统的制作提供参考。     

一种实用的分布式数据库访问系统

介绍了在Linux系统下开发分布式数据库访问系统软件的方法,用这种方法开发的软件,界面友好、通用性强、使用方便.软件开发、安装完成后,用户只要有一些基本的数据库基础,就能自由、方便地定义,使用分布在多台服务器上的全局表.虽然本文的软件代码是在Linux系统下实现的,实际上由于软件是用PHP编写的,利用他的平台无关性,软件基本不用做改动,就可以安装在Windows NT/2000/2003下,实现同样的功能.     

Linux嵌入式系统的优化

介绍了Linux嵌入式操作系统 ,讨论了如何对内核 (kernel) ,守护程序 (daemons) ,程序库 (libraries)和应用程序 (applications/utilities)等四个主要部分进行缩减 ,以便配置在以快闪内存为存储设备的嵌入式系统中。     

基于Linux的网络入侵检测与防火墙集成系统的设计与实现

作为网络安全领域的两大技术，入侵检测系统与防火墙仍然存在一些自身无法解决的问题。在入侵检测系统与Linux内核Netfilter总体框架的基础上，文章提出了集成网络入侵检测系统（NIDS）与防火墙（iptables）系统总体框架．详细介绍了对该框架各模块的初步实现，最后分析了该系统的优缺点。     

基于嵌入式LINUX的GPRS数据传输系统

简要分析了嵌入式Linux操作系统和GPRS传输原理，并结合嵌入式Linux技术和GPRS网络，提出基于嵌入式Linux操作系统的GPRS数据传输系统设计方法。目前，中国移动的GPRS网络运行稳定且支持TCP／IP协议，Linux内核也支持此协议栈，这样以很少的投入就可以开发出满足不同需要的GPRS数据传输应用。