基于Windows内核态个人防火墙的设计与实现

为了提高防火墙对非法数据包的拦截能力,增强Windows主机上网的安全性,设计并实现了一个基于Windows内核态的个人防火墙。它由应用程序和驱动程序2部分组成,其中应用程序负责对数据包进行实时监控以及安全规则实现,并向用户报告防火墙的运行状态或安全事件;基于NDIS中间层驱动程序对数据包进行拦截,采用设备输入和输出控制（IOCTL）方法实现内核态进程与用户态进程间的通信。测试结果表明,该防火墙能在Windows平台下稳定运行,能够有效拦截非法数据包。     

一种包过滤防火墙的设计与优化

在网络技术飞速发展的今天,黑客和病毒每年给互联网用户带来了巨大的损失,个人防火墙应运而生.个人防火墙一般都是采用包过滤的方式来实现的.包过滤型防火墙如果在应用层过滤数据包,因不能捕获所有的数据包,安全性较低;而工作在NDIS层的包过滤型防火墙,则能对所有数据包进行过滤,安全性较好.文章设计并实现了一个包过滤型防火墙系统,在windows 内核中截获数据包,并通过采用多线程等技术进一步优化了包过滤的性能.     

可添加规则的创新防火墙设计与实现

个人防火墙一般都是采用包过滤的方式实现的,且大多数的包过滤防火墙只在应用层过滤数据包,不能捕获所有的数据包,安全性较低;而采用内核层的IP过滤钩子驱动则能对所有IP数据包进行过滤,安全性较高。在制定包过滤防火墙的过滤规则前,用户往往需要捕获流经当前主机的数据包进行分析,尽可能地判断出哪些数据包是病毒、木马等非法数据,然后有针对性地制定防火墙规则,才能更有效地阻断恶意数据,保证合法数据的安全。文章正是针对以上两个方面,开发了一个融合抓包和包过滤于一体的防火墙。该防火墙利用内核模式下的IP过滤驱动,来实现防火墙的包过滤功能,提升防火墙的安全性和健壮性。同时调用Winpcap库中的函数,在程序上添加一个抓包模块,为分析数据、制定防火墙规则提供方便。     

4类防火墙简介

防火墙的基本类型包括4大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。     

基于软件定义网络的校园网防火墙设计

网络防火墙可以实现对网络数据包进行有效过滤与拦截,是网络系统中一种非常重要的安全信息防护技术。但是传统防火墙,由于物理的硬件限制,需将防火墙设备安装在网络中多个位置,造成管理困难,并且无法对用户访问的恶意网站流量进行区别、分析。针对以上问题,设计了一种基于软件定义网络（software defined network, SDN）的防火墙系统。首先,通过SDN的可编程性自定义传输网络的规则策略与网络路由策略,实现对校园网内部的访问控制列表（access control list, ACL）控制和对网络的集中配置管理,然后,通过万维网（world wide web, Web）端界面下发防火墙规则,实现网络防火墙的过滤与拦截功能,最后,通过解析域名系统（domain name system, DNS）数据包,提取DNS主机域名,采用动态规划算法中的最短编辑距离实现DNS恶意域名防护。实验结果表明所设计防火墙系统能够使管理更加地智能化和自动化,能够提高整体网络的实时性和安全性。     

两端均为私网用户的NAT穿越

NAT(Network Address Translation)是一种把内部私有网络的IP地址翻译成公共网络的IP地址的技术。在国内由于公网IP地址资源匮乏和网络安全问题等原因,大量企业用户和个人宽带用户采用了内网编址,并通过NAT/防火墙来与公共网络通信。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT/防火墙。目前的NAT/防火墙设备对HTTP、POP3等端口固定的常用协议都有很好的支持,只要稍加配置即可很好地实现穿透,但对于语音和视频应用来说,其控制信息常需要用到动态协商或随机打开…     

IPv4／IPv6过渡阶段防火墙设计与实现

针对IPv4向IPv6过渡阶段网络的特殊性,分析了IPv6-in-IPv4隧道技术给网络带来的安全威胁。通过需求分析及防火墙框架设计,实现了基于Netfilter框架的Trans防火墙,Trans防火墙功能较为完善,不仅能够过滤普通的IPv4数据包,而且能够检查和过滤IPv6-in-IPv4封装数据包,并实现了过滤规则的动态配置以及日志记录等。最后,对Trans防火墙进行测试,结果表明Trans防火墙能够很好地对不同协议类型的数据包进行检查及过滤,从而为有效地防止隧道攻击提供了安全保证。     

基于Windows的网络数据包拦截技术

所有基于Windows操作系统的个人防火墙核心技术点在于Windows操作系统下网络数据包拦截技术。主要研究在Windows操作系统下常见的网络数据包拦截技术及实现方法。     

软件定义网络控制器安全策略部署

针对SDN(软件定义网络)环境下的安全问题,文章提出一种在SDN控制器上部署安全策略的方案,主要实现SDN防火墙的网站过滤设计。首先设计用户访问的网站的检测过滤模块,其次通过软件设计API(应用程序编程接口)方式实现网络的安全访问控制,最后设计数据库存储拦截过滤规则和拦截日志。通过系统测试表明该安全架构具有良好的可靠性应用。     

基于操作系统内核的包过滤防火墙系统的设计与实现

主要研究如何通过基于Windows操作系统内核的包过滤防火墙系统来实现网络安全防护.基于操作系统内核的包过滤防火墙系统是基于网络层实现的包过滤防火墙系统,该系统要求能够对所有进出计算机的IP数据包进行灵活控制,实现包过滤的核心问题是如何截获所有的IP数据包.首先介绍了包过滤防火墙的基本结构和原理,然后在剖析操作系统内核的基础上,研究并设计了基于Windows操作系统内核的包过滤防火墙系统.     

面向应急响应的高速网络流量采集设计与实现

网络安全应急响应在网络分析和追踪时需要应急采集,即捕获特定IP、端口、协议的原始分组。基于高速网络分组捕获工具PF_RING DNA,利用多核多线程并发采集与规则匹配的网络分组,并分配共享缓冲区提高分组的磁盘存储性能,同时通过对采集规则设置不同的状态,实现动态添加采集规则和人为干预采集过程。实验结果表明,在双万兆网卡的环境下,应急采集系统可以捕获并处理19.98 bit/s(3.5 Mpacket/s)的网络流量,最大应急采集速率为1 297 Mbit/s（204.9 kpacket/s）。     

A secure PLAN

Active networks, being programmable, promise greater flexibility than current networks. Programmability, however, may introduce safety and security risks. This correspondence describes the design and implementation of a security architecture for the active network PLANet. Security is obtained with a two-level architecture that combines a functionally restricted packet language, PLAN, with an environment of general-purpose service routines governed by trust management. In particular, a technique is used which expands or contracts a packet's service environment based on its level of privilege, termed namespace-based security. The design and implementation of an active-network firewall and virtual private network is used as an application of the security architecture. Measurements of the system show that the addition of the firewall imposes an approximately 34% latency overhead and as little as a 6.7% space overhead to incoming packets.     

一种基于TCP／IP协议的网络协议安全系统设计

本文提出了基于包加密和防火墙技术在互联网上建立一个风络协议安全系统的新方法，并提出了开放安全结构和安全内部网的概念。     

主动网络信包验证和代码授权机制研究

本文提出了运用认证和授权方式来解决主动网络所面临的安全问题，利用X509证书、数字签名、jaVa语言安全以及Java认证和授权服务等实现了一个主动网络的信包认证和代码授权机制，并在原主动信包的基础上设计了安全主动信包。其中，信包验证包括了对主动信包的身份认证和完整性验证，主要是为了解决非法节点向主动节点发送恶意代码或者中途篡改主动信包的问题；代码授权包括了对EE代码的授权和对主动信包代码的授权，通过限制外来代码在主动节点上的活动来避免其对主动节点造成危害性后果。     

个人防火墙穿透技术研究

为了防范恶意的网络攻击行为，越来越多的联网主机采用了个人防火墙。论文介绍了Windows平台下个人防火墙工作原理，常用的网络数据包截获技术的原理和特点，以及几种穿透个人防火墙的方法，并在NDISHOOK的层次实现数据通信，经过测试，它能穿透目前l丰流的防火墙。     

Single-packet IP traceback

The design of the IP protocol makes it difficult to reliably identify the originator of an IP packet. Even in the absence of any deliberate attempt to disguise a packet's origin, widespread packet forwarding techniques such as NAT and encapsulation may obscure the packet's true source. Techniques have been developed to determine the source of large packet flows, but, to date, no system has been presented to track individual packets in an efficient, scalable fashion. We present a hash-based technique for IP traceback that generates audit trails for traffic within the network, and can trace the origin of a single IP packet delivered by the network in the recent past. We demonstrate that the system is effective, space efficient (requiring approximately 0.5% of the link capacity per unit time in storage), and implementable in current or next-generation routing hardware. We present both analytic and simulation results showing the system's effectiveness.     

The pi-persistent protocol for unidirectionalbroadcast bus networks

A protocol for multiaccess communication over unidirectional bus networks is proposed, and its performance capabilities are determined. Under this protocol, time is slotted with a slot equaling a packet's transmission time. A station with a packet to send persists in transmitting its packet in an empty slot with probability p_i until it is successful. Three criteria for fairness in selection of the p_i are modeled using Markov chains, which are solved to obtain the proper p_i that satisfy each fairness criterion. Unlike previous studies of unidirectional bus networks, stations are allowed to buffer more than one packet. The average packet delay for this protocol is bounded, and the maximum achievable throughput approaches unity with increasing buffer size. Further, the protocol provides better delay versus throughput behavior for fixed packet lengths than previous round-robin schemes, its performance is insensitive to bus characteristics, and it appears to be particularly well suited for fiber-optic network applications requiring long distances and high bandwidths. Simulation results that confirm the predicted performance are included     

分组网中的IEEE1588v2同步技术及应用

介绍了＂ALL IP＂背景下分组网络作为统一承载网络面临的同步需求,以及分组网络的频率和时间同步实现技术和网络应用方案。     

分组交换网传送语音信息

本文先简单说明传统公用电话网的电路交换和数据通信网的分组交换原理。然后介绍语音压缩和分组语音技术在互联网和内部网上的应用 ,以实现互联网电话的新趋向。     

包分类算法在防火墙中的应用研究

包分类算法的性能直接影响数据包的收发速度,决定了网络的时延和吞吐量。防火墙中使用分类算法进行过滤规则的匹配查找,能有效降低规则匹配搜索时间,极大地提升防火墙的性能。递归流分类（RFC,Recursive Flow Classification）算法查找速度快,但预处理时间长,存储开销大。现在RFC算法的基础上,结合哈希树算法对数据包各字段分开处理。将两种算法结合,综合考虑了空间和时间性能,不仅减少了存储开销,而且能保持相对快的查找速度。