网络安全与计费系统

1、用Linux防火墙控制外部防问 Linux操作系统支持多种通信接口、网络层协议和路由技术。它具有内置的IP防火墙,支持IP包过滤、数据包计帐、日志文件和透明代理技术。它能够对IP包的输入、输出和转发分别设置防火墙,可以对单个主机或子网分别设置过滤规则,也可以对指定的协议（TCP、UDP和ICMP）和端口（Telnet、WWW、FTP等）设置规则。     

SonicWALL UTM设备在学校的应用

随着网络技术及其应用的普及,网络安全问题日益凸现, 防火墙技术也日新月异。然而传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙只能检测 IP 层和 TCP/UDP 层的协议和端口,设置安全策略,并不检测数据包的净荷,即实际传输的数据内容。内网的服务器要对外提供服务,必然要开放相应的服务端口供用户访问,然而如今的网络安全威胁已经由针对 TCP/IP 协议本身漏洞的攻击转向针对操作系统和应用漏洞的攻击和入侵,安全威胁采用防火墙开放的合法端口进入内部网络,同时各种蠕虫病毒、木马等通过 Internet 广泛传播,造成网络瘫痪,间谍软件进入内网用户的电脑窃取私密信息。而这些复合型的网络安全威胁正是隐藏在 IP 数据包的净荷,即数据包的内容当中,前三代传统的防火墙对它们无能为力。     

状态监测技术的研究

1.传统防火墙技术的缺点传统的防火墙技术可分为包过滤和应用代理两大类。包过滤技术是在网络层依据系统的过滤规则对数据包进行选择和过滤的技术。该技术通过检查数据包的源地址、目标地址、源端口、目标端口及协议状态来确定是否允许该数据包通过。包过滤具有过滤效率高,成本低,易于安装和使用的特点。包过滤之所以能够通过对源目地址和端口进行过滤来达到控制上层应用服务的目的,是和应用层协议的设计紧密相关的。基本上所有的应用层协议都遵循客户/服务器模式,服务器提供服务的端口往往是在协议设计时规定好的,对这一特点进行过滤特征提炼从而制订规则表作为防火墙的安全策略。但是,有的协议需要建立第二条连接,如FTP,RealAudio。对这样的协议缺乏有效的过滤手段。     

用“包过滤”编织安全的网络

目前,市场上的路由器一般都拥有内置的防火墙(包过滤防火墙)功能,可以对源IP地址和目的IP地址以及协议端口号进行过滤。基于此,我们可以充分发挥它内建的安全性来控制哪些网络访问哪些服务器资源,更好地保护网络安全。也许在没有购买防火墙软硬件的情况下,它是中小型局域网所采用的最简单有效的安全方法。     

在IP包过滤中状态TCP包的过滤研究与设计

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。     

Internet防火墙透明代理技术的研究与实现

1 防火墙代理技术概述代理型防火墙的基本思想仍是源于代理服务器,其目的主要是对外界屏蔽/保护内部网络的信息和结构,“切断”被保护网络与公共网络的直接联系。代理技术按照不同的标准可有多种分类方法,如按其实现机制在网络分层中所处的位置可分为链路级代理、网关级代理和应用级代理,按照用户使用的方式又可被分为应用代理和透明代理。包过滤防火墙的安全性是基于对包的IP地址的校验,它将所有通过的信息包中发送方IP地址、接收方IP地址、TCP/UDP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包,以保证网络系统的安全。代理型防火墙则是将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源,代理服务器接收客户请求后会检查验证其合法性,并像一台客户机一样取回所需的信息再转发给客户。     

基于HIP的网络防火墙系统设计与实现

在Internet所使用的TCP/IP协议中,网络层IP地址同时代表了主机标识符和定位符,使得IP地址无法支持主机移动性与多宿主性,更加无法保障用户之间的可信任性。为了解决这一系列问题,文章深入研究了主机标识协议（HIP）的体系结构。该体系通过主机标志层来标志连接终端,加强了安全性和可移动性,满足了人们对保密通信和移动通信上的要求。文章基于ARM嵌入式系统,提出以透明网桥为载体架设防火墙过滤HIP包,达到对一个网段进行网络安全防范的目的。     

基于操作系统内核的包过滤防火墙与VPN系统的研究与实现

分析了目前网络安全状况,针对TCP/IP协议的安全问题,在剖析操作系统内核的基础上,研究并设计实现了基于操作系统内核的包过滤防火墙与虚拟专用网(VPN)系统。     

快速搭建Linux防火墙

Windows中可以通过IP安全策略,来对进出本机的网络数据包进行过滤,进而可以自由控制指定端口的开合状态,这实际上起到了简易的包过滤防火墙的作用,因为IP数据包具有一定的特性,例如其包含源地址、目标地址、源端口和目标端口、协议号等属性。     

状态检测防火墙中几种协议的结构设计

介绍了防火墙的发展及各类防火墙的特点,分析了状态检测防火墙的工作原理,建立了状态表和规则表的数据结构,提出了一个基于状态检测的硬件防火墙中协议的整体框架设计。在考虑防火墙安全和速度性能的前提下,给出针对TCP,UDP,ICMP和ARP等TCP/IP协议栈中主要协议的状态检测的结构设计,采用TCP序列号检查、UDP虚连接、ICMP数据包检测引擎等办法保证网络的安全性和高效性。     

自主屏蔽TCP/IP端口

在很多有关安全的书籍上都曾经提到过屏蔽端口,其实屏蔽端口就是只允许开放使用的端口,而对一些不使用的或者未知的端口关闭掉,从而让入侵者扫描端口不能如愿以尝,也就有效地防止了入侵者对端口的扫描。Windows操作系统自带的协议过滤只能对TCP/IP协议进行过滤,而不能对ICMP协议进行过滤。下面给出了如何屏蔽端口的具体操作步骤。1.右键单击“网上邻居”,选择“属性→本地连接→属性→TCP/IP协议→属性→高级→选项→TCP/IP筛选→属性”,系统会弹出“TCP/IP筛选”对话框(如图)。说明:这里有三个筛选模式,分别为TCP端口,UDP端口…     

基于主成分分析和蚁群优化方法对IP流进行网络异常检测

由于网络规模和复杂性不断增加,信息技术服务不能停止,所以现在这种需求如何主动的网络管理是非常显着的,并且有必要使用主动识别可能损害网络正常操作的路径选择模式的方法。针对自动化管理发现和预防潜在问题,提出并比较了基于统计过程主成分分析和蚁群优化元启发式的两种新型异常检测算法。执行IP数据流的主成分分析,代表每秒传输的比特、分组和流量,以及提取描述性流属性,如源IP地址,目的IP地址,源TCP / UDP端口和目的TCP / UDP端口,通过使用动态时间扭曲度量的修改来将该签名与实际网络流量进行比较,以识别异常事件。     

IPv6下基于病毒过滤防火墙的设计与实现

包过滤防火墙无法检测出网络病毒,因此对其研究很有必要.设计的防火墙屏蔽了Linux自身的TCP/IP协议栈,重新构建了适合防火墙专用的TCP/IP协议栈,完成了防火墙上TCP协议的连接保持、数据包确认、文件传输等功能.防火墙主要考虑了HTTP协议下的文件过滤,使得内网主机在通过HTTP协议下栽文件时自动过滤病毒文件,保证内网主机的安全;防火墙以Linux可加栽内核模块形式实现,可以过滤链路层以上的各层;为提高病毒检测速度,提出了将病毒检测软件运行在核心态的方法.实验结果表明:设计的防火墙在性能和功能上都达到了预期目的.     

基于数据流模型的NetFlow流数据安全检测分析系统

本文设计了一个基于数据流模型的Netflow流数据安全监测分析系统,其应用背景是在骨干网络路由器上的大规模数据流处理。基于对Netflow原始流信息中的源/目的IP地址、源/目的端口、TCP/UDP/ICMP协议等进行SUM、CONUT、Top-K三种聚集计算,对骨干网络中的流数据根据相关需求进行监测骨干网络中的网络安全事件,进一步对未知蠕虫病毒具有检测和预警的功能。SUM、COUNT、Top-K三个底层通用算法基于数据流模型,体现出了它的实时性、持续性及其高性能。     

大众网络安全谈（四）：TCP、UDP协议与防火墙

上一期mason给大家说明了协议的概念,然后详细解析了IP的概念及动态/静态IP地址,这期的内容则是有关TCP、UDP协议的解释,然后就防火墙进行了详细分析。     

Windows的TCP／IP网络应用开发

当今,TCP/IP已成为“既成事实”的互联网技术。作为一套网络协议标准,它包括了ISO/OSI体系结构中的网络层和传输层。其中网络层是IP(Internet Protocol)协议,实现无连接的数据传送、数据报寻径和差错控制、并通过向上层提供IP数据报和IP地址使得各种网络物理帧差异性统一等功能;传输层由TCP(Transmission ControlProtocol)和MDP(User Datagram Protocol)两大并列协议组成,它们通过协议端口(prot)与进程建立联编(bind),实现进程间的通信。这里,TCP是面向连接的,通过滑动窗口、确认与超载重传的机制实现高可靠的流(stream)服务;而UDP则是无连接的,以分组交换     

Linux平台下Netfilter/Iptables包过滤防火墙的研究与应用

本文通过制定防火墙在信息包过滤时所遵循的规则,分析网络层IP包头中的源地址、目的地址及包类型等信息,完成丢弃或接受数据包的目的,最终决定数据包的流向,从而实现对内部局域网络用户的安全保护。     

基于FPGA的IP数据报的提取模块的设计

IP数据报的提取主要应用在防火墙中,用FPGA可利用其身的技术优势来提取IP数据报中的相应的数据,大大减轻了CPU的负担。利用FPGA的主要提取IP数据报的IP源地址、目的地址、源端口号、目的端口号,并从IP数据报中判断是TCP,UDP,ICMP协议。     

基于TCP/IP的操作系统的探测及防御技术研究

基于TCP/IP协议栈指纹的操作系统探测技术在网络安全中日益突显出重要作用。黑客利用它实施攻击而网络管理人员则可以发现网络漏洞,维护网络的安全。该文主要讨论了基于显式拥塞通告(ECN)检测、ICMP响应检测和基于UDP探测包检测的3种较新的,利用TCP/IP协议栈指纹进行操作系统识别的技术,这3种技术利用了TCP/IP协议族在实现上的差异完成操作系统的识别。最后编写对应的snort规则对这3种远程识别技术进行了检测,结果显示利用入侵检测系统检测这种探测包效果良好。     

Http隧道在穿越NAT/防火墙技术中的应用

要让私有IP地址的用户通过SIP等协议进行会话,就必须使SIP信令和媒体流穿越NAT/防火墙。STUN,ICE等现有协议只能应用于UDP,不能用在有防火墙限制以及只能TCP连接的环境下。文中在研究了http协议中一些常用的方法,如:Post,然后借鉴并结合了TURN协议的一些控制方法,提出了SIP phone中用http隧道穿越NAT/防火墙的方案,并且详细叙述了SIP phone注册、呼叫过程。该方法在防火墙受限制端口或者UDP连接的网络环境下,使用户仍然可以进行正常通信,弥补了在现实环境中STUN,ICE协议的不足。