基于Linux Netfilter的DDoS防火墙设计

分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重。文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙。验证结果表明,该防火墙能够较好的防御DDoS攻击。     

基于Linux的防火墙系统的设计与实现

在当前防火墙相关技术中,Linux防火墙已经成为不可忽视的重要力量.本文首先对Netfilter的内核架构进行了分析,并在此基础之上,采用模块编程方式开发了一个高效的、稳定的、实用的基于包过滤的防火墙系统.实践证明由于Linux防火墙的开源性,Linux下的防火墙实现机制是一个值的探讨的领域.     

基于Linux防火墙与入侵检测系统的FIBDS模型

防火墙是内部网络用来防止来自外部网络侵害的一种安全防范工具.入侵检测系统则用来对外部网络的非法入侵进行监督和报警.将防火墙和入侵检测软件的优势结合起来,提出一种基于防火墙和入侵检测系统的FBIDS模型,并给出了模型实现的关键技术.     

Windows下基于IMD的NAT型防火墙的设计

在防火墙技术中,单独使用一种技术总会出现性能瓶颈或安全隐患的问题,综合利用多种技术制作的防火墙能够满足需要高标准网络安全的环境.通过模块化的设计方法,在Windows网络体系结构的IMD层下把NAT技术、过滤技术、状态检测技术,以及不同的认证方法结合起来实现防火墙,以达到高效抵御各种网络攻击,极大提高网络安全性的目的,并且这种方法实现容易,更新方便.     

DDoS攻击报文过滤器在Linux防火墙中的应用

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害严重的拒绝服务攻击。因此，对它进行检测和防御就显得非常困难。文章主要介绍了常用的儿种DDoS方式，提出了一套针对IP报文TTL值分布进行检测以及对TCP报文进行验证过滤的方案，并在此基础上对传统的Linux防火墙进行了改进。实验表明经过改进之后的防火墙能够在一定程度上防御DDoS攻击，比传统的简单报文过滤方法在实时性、准确性上有很大提高。     

Linux防火墙分析

描述了在Linux操作系统环境下防火墙的工作过程,对防火墙中包过滤工作过程的每一步从功能、流程上进行了详细的描述,并给出了包过滤规则工作流程图;同时,对防火墙的核心包过滤函数ip_fw_check（）进行了详细的介绍,分析了其函数参数、返回值和工作流程以及防火墙链结构Ip_fw,全面说明了Linux操作系统环境下防火墙的主要工作过程,明确了Linux操作系统下防火墙规则如何对数据流进行判断和控制管理．最后,给出了Linux操作系统环境下防火墙的使用建议．     

Linux 内核中IP包过滤的实现方法分析

网络安全在现代社会中的地位越来越重要,IP包过滤技术是防火墙技术中的基础。通过对Linux内核源代码的分析,详细阐述了在Linux内核中实现IP包过滤的基本方法,同时对IP伪装和网络地址转换（NAT）的实现作了简要的介绍,对理解软件防火墙中的包过滤机制具有一定的参考意义。     

分布式防火墙及其在企业网中的应用

介绍了分布式防火墙的概念,分析了分布式防火墙的体系结构,原理和其主要优点。同时给出了一种分布式防火墙在企业网中的应用实例,说明了它在企业网安全建设中不仅能够保留传统防火墙的优点,而且具有更大的优势。     

Linux 下防火墙的实现

介绍了2种主要的防火墙技术——包过滤和应用代理，具体探讨了Linux内核中的防火墙管理工具Ipchains以及如何在Linux环境下使用它来实现防火墙．     

防火墙关键技术及发展

在因特网受到外部网络攻击的情况下防墙作为因特网最新发展技术之一,是目前实现网络安全策略最有效的工具。防火墙关键技术有包过滤技术和代理技术等。但防火墙对来自网络内部的攻击无能为力。     

基于路由器的校园网双出口的实现方法

近年来,随着Internet的普及、应用范围的拓宽,网络已成为人们日常学习、生活不可缺少的一部分.网络技术也有了飞速的发展,路由器作为网络互联的重要设备,其性能有了显著的提高,原来由软件来实现的技术如NAT(网络地址转换),现在可用硬件来实现,其工作效率大大提高.本文对使用路由器实现校园网双出口的方法进行了研究,提出了具体的实现方案.该方案涉及了NAT、策略路由、访问控制列表等与路由器有关的网络技术,解决了目前许多高校校园网因采用双出口方式带来的一系列问题诸如:公网、IP地址短缺、校内服务器采用NAT技术后无法被外部访问、CERNET定义的国际流量使用费无法控制等,并已在高校进行了实际应用.     

采用DDN接入INTERNET的3种配置方法

详细讲解了采用DDN接入internet的 3种配置方法 :直接通过路由器访问internet ;通过代理服务器访问internet;采用直接访问与间接访问并存的方式访问internet。并分析了各自的利弊 ,提出采用 2种方式并存的方法为最佳方案。     

防火墙并行工作的实现

越来越多的关键应用运行在计算机网络上，作为计算机网络安全防护基础设施的防火墙充当着越来越重要的角色.应用的逐渐扩展，用户的不断增加使得单台防火墙的处理能力不断下降，处理速度不断减慢，防火墙已经影响到网络的正常运行，成为网络之间数据传输的瓶颈.介绍了多台防火墙并行工作的必要性和实际中常用的两种防火墙并行工作的方法，并说明了两种方法在实际中的优点和不足.重点阐述了多台防火墙动态并行工作的原理和实现及如何消除网络中防火墙的单点故障.     

基于2.4以上版本内核的Linux防火墙技术研究

介绍了由netfilter数据包处理框架和iptables用户空间工具组成的基于2.4以上版本内核的Linux防火墙的全新架构,分析了防火墙对数据包进行处理的位置的选择,以及防火墙对数据包进行处理的多种方式以及防火墙的连接跟踪功能,最后给出了防火墙的具体应用,为基于2.4以上版本内核的Linux防火墙的应用提供了参考。     

基于Linux包过滤防火墙的设计与应用

研究以保护网络安全为目的的防火墙技术，设计了基于Linux的包过滤防火墙，文中着重叙述了Linux环境下数据包捕获的实现，并对数据包捕获模块和数据库查询模块进行了阐述与分析,实验结果说明，该技术可靠、稳定，且具有一定的实用性。     

动态密钥交换技术与NAT服务的性能分析

主要介绍了IPSec(InternetProtocalSecurity)和NAT(NetAddressTranslation)结合的冲突性以及目前可能使用的结合方案,并在原有方案基础上,提出有关动态密钥交换IKE(InternetKeyExchange)技术方面的具体改进措施,并对这种措施在支持NAT服务方面的性能进行分析.     

萎于连终跟踪的源地址转换技术研究与应用

面对日益严重的公用IP地址短缺问题,本文分析了共享静态IP上网和共享动态IP上网两种方式,并且针对两种共享IP上网各自所拥有的特点,研究了Linux下两种源地址转换技术,并且配合连线跟踪机制,设计了两种源地址转换方案。     

Linux下基于Netfilter的网络监听器的设计与实现

深入分析了Netfilter的基本原理和内核模块编程,在此基础上设计了一个基于Netfilter机制的可对网络数据包进行抓捕分析的网络监听器。程序运行在linux内核态,具有很高的效率,数据包处理能力较强。同时Netfilter框架的使用使其具有良好的代码结构,易于维护和扩展。