路由器访问控制列表在网络安全中的应用

访问控制列表（ACL）是解决和提高网络安全性的方法之一,是用来过滤与控制进出路由器数据流的一种访问控制技术,可以限制网络流量,提高网络性能,控制通信流量。文中探讨了访问控制列表的基本概念及工作原理,并列举了访问控制列表在网络安全方面的具体应用。结合配置实例,介绍如何在路由器下通过访问控制列表来构建计算机网络的防火墙体系结构,对局域网安全性能进行保护。在路由器下配置ACL,成为构建网络安全体系的一种技术手段。     

通过访问控制列表分析网络病毒入侵和恶意攻击

访问控制列表（Access conuol list,简称ACL）是解决和提高网络安全性的方法之一,是用来过滤与控制进出路由器数据流的一种访问控制技术,可以限制网络流量,提高网络性能,控制通信流量。本文探讨了访问控制列表的基本概念及工作原理,并列举了访问控制列表在网络安全方面的具体应用。结合配置实例,介绍如何在路由器下通过访问控制列表来构建计算机网络的防火墙体系结构,对局域网安全性能进行保护。在路由器下配置ACL,成为构建网络安全体系的一种技术手段。     

Cisco防火墙解决方案

我们知道防火墙有四种类型:集成防火墙功能的路由器,集成防火墙功能的代理服务器,专用的软件防火墙和专用的软硬件结合的防火墙。Cisco的防火墙解决方案包含了四种类型中的第一种和第四种,即:集成防火墙功能的路由器和专用的软、硬件结合的防火墙。集成在路由器中的防火墙技术 1.路由器105标准配备中的ACL技术 ACL即Access Control List(访问控制列表),简称Access List(访问列表),它     

访问控制列表配置分析

访问控制列表利用数据包的特征信息来定义规则,区分不同的数据包,实现包过滤,在保证合法访问的同时,对非法访问进行控制。该文针对在交换机、路由器和防火墙访问控制列表配置中各自的特点,结合工程实践,分别举例说明了其应用方法。     

FTP服务用到哪些端口

众所周知，FTP服务使用TCP协议的20和21端口，但在微软JE浏览器中情况不仅限于此，它还涉及到了更多的端口。笔者由于忽视了这一点，结果在使用路由器ACL访问列表后，造成用户不能访问FTP服务的故障。     

构筑企业网络安全的第一道防线 包过滤路由器的充分利用

路由器是Intranet和Internet的连接处,是信息出入的必经之路,对网络的安全具有极其重要的地位。同时,路由器配置的优劣,对于企业内部网如何更快、更好地访问Internet具有决定性的作用。本文就是假设在没有安装网络防火墙的情况下,充分发挥路由器的作用,提高网络的安全性。另外,鉴于Cisco系列路由器在我国的广泛使用,本文均以Cisco路由器作为配置的例子。     

基于时间控制策略的校园网路由设置

通过访问控制列表来管理信息流,以达到指定的上网行为策略,这种策略通过描述安全、时间等条件来反映流量的优先权和控制权。在路由器中配置访问列表可以完成网络对数据包的过滤,合理的使用基于时间的访问列表可以更有效的、更方便、更经济的管理校园网络。本文通过介绍基于时间的访问控制列表的新概念和语法,以及具体的应用实例,来分析基于时间的访问控制列表在校园网中的典型应用。     

基于时间控制策略的校园网路由设置

通过访问控制列表来管理信息流,以达到指定的上网行为策略,这种策略通过描述安全、时间等条件来反映流量的优先权和控制权。在路由器中配置访问列表可以完成网络对数据包的过滤,合理的使用基于时间的访问列表可以更有效的、更方便、更经济的管理校园网络。本文通过介绍基于时间的访问控制列表的新概念和语法,以及具体的应用实例,来分析基于时间的访问控制列表在校园网中的典型应用。     

CISCO路由器的安全机制

在安全方面,路由器是保证网络安全的第一关,其保护是以访问控制列表的形式进行的,被创建的访问列表可以用来允许或拒绝报文通过路由器。CISCO路由器中内嵌IOS中的安全机制,增加了企业网络的安全性.     

端口碰撞技术让开启端口更安全

这项技术既允许对安全外壳(SSH)等服务进行有选择的远程访问,又能确保服务器的安全性。防火墙和路由器上的每个开放端口都是一种安全风险,这也是为什么一种名为“端口碰撞(”portknocking)的技术很重要的缘故。端口碰撞这种方法允许访问预先配置好进行“碰撞”的防火墙服务。碰     

基于时间的访问表技术应用研究

基于时间的访问表技术是Cisco路由器IOS 12.0以后版本中的一个新的特征,通过一个实例来分析基于时间的访问表技术的应用.     

拟态路由器TCP代理设计实现与形式化验证研究CSCD

拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1︰1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。     

一种虚拟路由器的体系结构及实现

提出了一种虚拟路由器体系结构，并对其中的关键组成部件如虚拟协议栈模块、虚拟路由协议模块以及虚拟管理模块等功能和实现进行了描述，为了实现单一代码能够运行多个实例，使用封装技术修改了协议栈代码、路由协议代码和路由器中其它的功能模块代码，并以BSD4.3为基础实现了虚拟路由器原型。通过对原型的测试，表明提出的体系结构和实现方法能够达到预期效果，具有实际应用价值。     

Bay路由器在TCP／IP广域网中的应用

以一个实际的TCP／IP广域网系统为例,介绍了它的组成结构、IP地址分配。详细叙述了利用Bay SiteManger图形化配置工具在X．25上对Bay路由器进行配置,以及在建网过程中的网络故障诊断方法。     

AQM router design for TCP network via input constrained fuzzy control of time-delay affine Takagi–Sugeno fuzzy models

In this article, Takagi–Sugeno (T–S) fuzzy control theory is proposed as a key tool to design an effective active queue management (AQM) router for the transmission control protocol (TCP) networks. The probability control of packet marking in the TCP networks is characterised by an input constrained control problem in this article. By modelling the TCP network into a time-delay affine T–S fuzzy model, an input constrained fuzzy control methodology is developed in this article to serve the AQM router design. The proposed fuzzy control approach, which is developed based on the parallel distributed compensation technique, can provide smaller probability of dropping packets than previous AQM design schemes. Lastly, a numerical simulation is provided to illustrate the usefulness and effectiveness of the proposed design approach.     

路由器交换过程中信息安全分析

路由器是实现多台电脑组建局域网并连接互联网的主要设备之一,在我们工作和生活之中被普遍应用。路由器的联网通过TCP/IP协议连接互联网,而网络协议TCP/IP协议存在安全漏洞,因此路由器便成为主要攻击的对象。不法分子和黑客通过获取路由器交换过程中的IP地址控制路由器所连接的联网电脑,或者在路由器交换过程中的报文破译网络传输的信息和数据。本文对路由器交换过程中的信息安全进行分析,安全优化路由器,构建路由器交换过程中信息安全策略。     

Dynamic queue level control of TCP/RED systems in AQM routers

One main TCP congestion control objective is, by dynamically adjusting the source window size according to the router queue level, to stabilize the buffer queue length at a given target, thereby achieving predictable queueing delay, reducing packet loss and maximizing link utilization. One difficulty therein is the TCP acknowledging actions will experience a time delay from the router to the source in a TCP system. In this paper, a time-delay control theory is applied to analyze the mechanism of packet-dropping at router and the window-updating in TCP source in TCP congestion control for a TCP/RED dynamic model. We then derive explicit conditions under which the TCP/RED system is asymptotically stable in terms of the instantaneous queue. We discuss the convergence of the buffer queue lengths in the routers. Our results suggest that, if the network parameters satisfy certain conditions, the TCP/RED system is stable and its queue length can converge to any target. We illustrate the theoretical results using ns2 simulations and demonstrate that the network can achieve good performance and converge to the arbitrary target queues.     

An explicit router feedback framework for high bandwidth-delay product networks

Links with high bandwidth ranging from 1 to 10 Gbps are increasingly in use worldwide. Congestion control with the positive use of router feedback that explicitly indicates network conditions is a promising way to address the performance issues of congestion control especially in such high-speed networks. In this paper, we propose SIRENS, a scalable, robust, and flexible fine-grained explicit router feedback framework. SIRENS is a per-hop and in-band notification scheme where each router captures a snapshot of the various kinds of downstream link status along the IP-level path from a sender to a receiver and notifies the receiver of the status. The receiver can find out the overall path status by assembling all the cumulative notifications that indicate the status in each of the single hops and by feedback can share this information with the sender. Such per-hop information is needed by end-hosts if we are to flexibly design novel congestion control mechanisms or to significantly improve the performance of conventional forms of congestion control. We show the feasibility of SIRENS in terms of router processing overhead through the development and evaluation of a network-processor-based high-performance network emulator. As a typical application of SIRENS, we show the configuration of TCP Limited Slow-Start. Through the implementation and evaluation, we have made sure that a sender can shift from the slow-start phase to the congestion avoidance phase without any packet drop, and can achieve more effective bandwidth utilization.     

一种融合电路交换与分组交换的方法

提出了基于TCP交换技术的电路交换与分组交换融合的新方法,分析了TCP交换需要解决的主要问题,较详细的讨论了TCP交换中由IP路由协议创建与撤销电路链路的过程,边界路由器与核心路由交换机所需完成的主要功能与任务以及实现TCP交换所必须研究的关键技术。     

Transparent TCP acceleration

Transparent transmission control protocol (TCP) acceleration is a technique to increase TCP throughput without requiring any changes in end-system TCP implementations. By intercepting and relaying TCP connections inside the network, long end-to-end feedback control loops can be broken into several smaller control loops. This decrease in feedback delay allows accelerated TCP flows to react more quickly to packet loss and thus achieve higher throughput performance. Such TCP acceleration can be implemented on network processors, which are increasingly deployed in modern router systems. In our paper, we describe the functionality of transparent TCP acceleration in detail. Through simulation experiments, we quantify the benefits of TCP acceleration in a broad range of scenarios including flow-control bound and congestion-control bound connections. We study accelerator performance issues on an implementation based on the Intel IXP2350 network processor. Finally, we discuss a number of practical deployment issues and show that TCP acceleration can lead to higher system-wide utilization of link bandwidth.