基于Linux Netfilter的DDoS防火墙设计

分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重。文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙。验证结果表明,该防火墙能够较好的防御DDoS攻击。     

Linux下基于Netfilter的网络监听器的设计与实现

深入分析了Netfilter的基本原理和内核模块编程,在此基础上设计了一个基于Netfilter机制的可对网络数据包进行抓捕分析的网络监听器。程序运行在linux内核态,具有很高的效率,数据包处理能力较强。同时Netfilter框架的使用使其具有良好的代码结构,易于维护和扩展。     

Linux平台下电信级计费网关研究

设计了基于Linux内核的电信级计费网关模型，实现了一种在x86硬件上使用Linux内核进行包过滤的计费系统原型。论文的主要研究工作：使用Netfilter框架，完成了网络层的数据包重组、以及应用层的报文头分析；实现了在内核中对HTTP协议的数据流进行解析及过滤，并提取出计费所需的重要信息：使用x86电信服务器对系统原型进行了实例测试，通过性能分析，证明了该系统的可用性.     

基于NAT-PT的IPv4/IPv6的转换网关在Netfilter框架中的实现

在IPv4向IPv6过渡的过程中,基于NAT—PT机制的转换网关可以很好的解决纯IPv4节点与纯IPv6节点之间的通讯问题。文章首先对NAT—PT机制进行详细讨论,然后提出一种的构建于Netfilter功能框架上的基于NAT—PT机制的转换网关的模块化设计。     

基于Linux包过滤防火墙的设计与应用

研究以保护网络安全为目的的防火墙技术，设计了基于Linux的包过滤防火墙，文中着重叙述了Linux环境下数据包捕获的实现，并对数据包捕获模块和数据库查询模块进行了阐述与分析,实验结果说明，该技术可靠、稳定，且具有一定的实用性。     

基于构件框架及模型驱动的操作系统内核

为了解决复杂嵌入式系统模型在操作系统上的实现要求，提出了一个新的基于模型驱动架构的嵌入
式操作系统内核Pcanel.该内核提供一个构件化的运行环境，以细粒度的构件作为基本单位，以构件框架
作为控制构件计算任务的体系结构.构件框架对应设计阶段的抽象计算模型，由计算模型解决系统在功能
方面的问题.构件框架按照触发器条件控制构件的执行，解决系统在非功能方面的问题.Pcanel采用一个规
范的状态和行为的转换系统，将控制流与构件的执行相分离，并且在规范的递归形式下实现框架的组合.
研究结果表明，Pcanel能够灵活地应用于高度复杂的嵌入式系统，通过构件模型的约束条件，构件得以更
容易组合和验证.     

Netfilter框架下IPv6防火墙的设计与实现

针对目前缺乏IPv6环境下的高性价比的防火墙的现状,分析了Linux下Netfilter框架的实现防火墙的基本原理,结合IPv6协议的实现讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统中包过滤、连线跟踪、状态检测、包处理等关键功能的原理和实现.在实验环境下测试该防火墙,当规则集数量小于600条时,其性能可保持线性增长,能满足中小型用户需求,并为进一步改进查找算法、提高处理性能,满足更高性能的要求打下基础.     

基于Linux的防火墙系统的设计与实现

在当前防火墙相关技术中,Linux防火墙已经成为不可忽视的重要力量.本文首先对Netfilter的内核架构进行了分析,并在此基础之上,采用模块编程方式开发了一个高效的、稳定的、实用的基于包过滤的防火墙系统.实践证明由于Linux防火墙的开源性,Linux下的防火墙实现机制是一个值的探讨的领域.     

基于Linux防火墙与入侵检测系统的FIBDS模型

防火墙是内部网络用来防止来自外部网络侵害的一种安全防范工具.入侵检测系统则用来对外部网络的非法入侵进行监督和报警.将防火墙和入侵检测软件的优势结合起来,提出一种基于防火墙和入侵检测系统的FBIDS模型,并给出了模型实现的关键技术.     

Linux 内核中IP包过滤的实现方法分析

网络安全在现代社会中的地位越来越重要,IP包过滤技术是防火墙技术中的基础。通过对Linux内核源代码的分析,详细阐述了在Linux内核中实现IP包过滤的基本方法,同时对IP伪装和网络地址转换（NAT）的实现作了简要的介绍,对理解软件防火墙中的包过滤机制具有一定的参考意义。     

Linux防火墙在中小型企业的应用

阐述了Iptables防火墙的原理以及Netfilter架构,详细论述了基于中小型企业的特殊条件下,构建网络防火墙的思想和步骤。具体规划网络拓扑结构,通过NAT技术屏蔽子网,完成高效性价比防火墙的设计,并给出相关脚本。     

基于Linux内核映射的校园网计费系统研究

针对校园网络带宽和用户数量的迅速增长,以及传统网关计费系统在网络中处于出口位置,成为系统瓶颈的因素,设计并提出了一种基于Linux内核内存与数据库之间的映射机制.使用该机制的计费系统在完成所有计费功能的同时减少了访问数据库的次数,从而提高了计费系统的效率.并且给出了网关计费系统的各模块组成,系统测试结果证明所有数据符合预先设计思想     

Linux平台下网络入侵防御系统的研究与实现

针对防火墙和入侵检测系统在网络安全防御上存在的缺陷,本文提出了一个在Linux平台下,基于两层防御机制的网络入侵防御系统．该系统扩展了网关防火墙的入侵检测功能．实现了网关防火墙对攻击的最初防御,增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御．实验结果证明,两层防御机制对大规模的蠕虫攻击起到了实时抵制作用．     

基于2.4以上版本内核的Linux防火墙技术研究

介绍了由netfilter数据包处理框架和iptables用户空间工具组成的基于2.4以上版本内核的Linux防火墙的全新架构,分析了防火墙对数据包进行处理的位置的选择,以及防火墙对数据包进行处理的多种方式以及防火墙的连接跟踪功能,最后给出了防火墙的具体应用,为基于2.4以上版本内核的Linux防火墙的应用提供了参考。     

基于Linux2.4内核的透明代理解决方案

本讨论了如何在Linux2．4环境下通过iptables和squid实现透明代理。并结合计算中心的实际情况。给出了具体的实现方法。     

基于Linux的无线网络监听技术

为了改善目前无线网络数据监听技术中存在的严重丢包现象,在Linux环境下提出一种基于Libpcap异步机制的监听新方法,可通过进行IEEE 802.11协议的数据包捕获和过滤模块设计,利用Libpcap机制的BPF过滤器和包转发功能,实现无线网络数据包的有效监听。与普通监听技术相比,基于新方法而设计的体系结构丢包少、效率高,能有效提高网络数据监听效率。     

基于SSH整合框架的E-HR系统应用研究

E-HR是一个复杂的企业内部化信息系统,选择一个合适的应用框架,能够从根本上提高开发效率,减少应用代码,提高重用性和扩展性.Struts,Spring和Hibernate是目前比较流行的3种开源框架,分析了这3种框架各自的特点,在SSH整合框架的基础上,结合E-HR中的员工信息模块的实现,说明了SSH框架的具体应用.     

数据包高效透明转发研究及实现

为了提高双网口相互转发数据包的透明模式防火墙的性能,在分析数据包收发流程以及Netfilter框架的基础上,提出了一种获取发送网卡信息的新方法,并且基于该方法设计并实现了带状态检测和简单包过滤两种功能的透明模式防火墙.测试结果表明,与使用Linux bridge结合Netfilter构建的透明模式防火墙相比,这两种防火墙中的数据转发和过滤更加简洁高效.     

基于Linux和高速网络环境的网络监控系统设计

目前,基于Linux的网络监控系统不多,大多数传统的网络监控系统在高速网络环境下经常出现丢包现象。为此,结合分层软件设计和协议分析技术,设计了一个基于Linux和高速网络环境的网络监控系统。在系统的关键部位引入缓冲队列集,并利用同步信号量机制来同步数据包截获和分析在速度上的差异,同时使用延迟写方式来降低磁盘的读写开销,进一步优化了系统的性能。该网络监控系统有效地解决了高速网络环境下的数据包截获和分析的问题,可以较好地完成目前高速网络环境下的网络监控任务。