一种防火墙系统安全模型的形式描述

文中提出了一种防火墙系统的安全模型，该模型构筑在防火墙系统的安全服务基础之上，将安全模型抽象为若干安全服务的集合并用形式化的方法进行了描述，着重描述了安全服务的动态特性，安全模型的动态特性以及安全模型和防火墙系统之间的相互关系，提出了安全服务的双向性及关键服务集的概念，该模型在已实现的分布式动态防火墙原型系统中得到了验证。     

基于SOAP的远程申报系统的设计与实现

降低费用是小型单位在使用远程申报系统时必须考虑的问题，而防火墙穿越则是远程申报的技术实现问题。本文通过对远程访问服务和SOAP技术的有机结合，有效地解决了上述问题，并实现了一个低价、可以穿越防火墙的远程申报系统。     

防火墙与入侵检测系统联动的研究与实现

防火墙与入侵检测系统联动，可以有效提升防火墙的机动性和实时反应能力，同时也可增强入侵检测系统的阻断功能，目前已成为一个研究热点。本文从OPSEC和TOPSEC协议出发，对防火墙与入侵检测系统之间联动的技术进行了深入的分析，给出了防火墙与入侵检测系统联动的关键技术，并对如何保障自身安全进行了探讨；提出利用开放接口方式实现双方联动的思想，并针对具体产品给出了具体实现。     

多代理分布式入侵检测系统在校园网中的应用

近年来，入侵检测系统(IDS)作为信息系统安全的重要组成部分，得到了广泛的重视。可以看到，仅仅采用防火墙技术来构造网络的安全体系是远远不够的，很多攻击可以绕过防火墙。入侵检测技术可以在网络系统受到损害前对入侵行为做出拦截和响应。基于代理的分布式入侵检测系统实现了基于主机和基于网络检测的结合，为网络系统提供更好的安全保护。文中针对防火墙技术的不足，在对入侵检测技术及其通用架构做出分析和研究后，设计了一种基于代理的分布式入侵检测系统，并给出了在某校园网中的实现。     

Internet防火墙

Ｉｎｔｅｒｎｅｔ防火墙是这样的系统（或一组系统）,它能增强 机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Ｉｎｔｅｒｎｅｔ的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。 Ｉｎｔｅｒｎｅｔ防火墙的好处 Ｉｎ～ｔ防火墙负责管理Ｉｎｔｅｒｎ…     

防火墙的基本知识及应用

这期介绍的内容将结合上一期防火墙的基本理论对如何构筑防火墙系统作一个较全面的介绍。一般而言，构筑防火墙系统时，我们主要从以下四个方面考虑：▼防火墙的姿态（Stance）▼机构的整体安全策略▼防火墙的经济费用▼防火墙系统的组成防火墙的姿态防火墙可以扮演两种截然不同的姿态：1、未经授权即被禁止这种姿态下，防火墙首先允许期望的服务通过，然后禁止其余一切服务。2、未被拒绝即被允许这种姿态下，防火墙首先拒绝所有可能存在危险的服务，然后允许其余服务通过。其中第一种姿态是比较安全的策略，一般推荐管理员使用这种方式。…     

构建集成的Linux内核防火墙

首先介绍了基于最新Linux内核的防火墙技术netfilter框架结构，包括包过滤防火墙、代理服务器、完全状态检测技术、NAT、DMZ的概念、原理和用途，以及在Linux中具体实现的方法。着重探讨了一个用Perl／CGI编写的集成的WebAdmin来构建一个集成的带有状态检测功能的防火墙系统，该系统可以通过WebAdmin管理界面来进行本地／远程配置管理整个防火墙的策略，并提供了包括对于ADSL服务获得的动态IP地址的支持，DNS代理的集成，日志的记录，连接追踪，并特别集成了一个PPTP PVPN的功能，使得该系统成为一个a11-in-one的防火墙系统。     

高校校园网安全防火墙的设计与实现

随着网络技术的发展和网络规模的扩大,传统防火墙难以满足现代校园网安全的需要.针对这种情况,将分布式防火墙技术应用于小型网络环境中,利用其分布性特征来解决小型网络条件下对特定服务的需求,并实现了一个分布式防火墙的模型系统.     

基于TCP报文的防火墙渗透测试系统的设计与实现

防火墙渗透是网络攻防研究的一项重要内容。在有防火墙保护的情况下,目前许多渗透软件已经很难获取到主机的有用信息。本文通过分析现有国内外防火墙渗透工具存在的问题,在深入研究TCP报文结构的基础上提出了基于TCP报文的防火墙渗透探测方法,并利用该方法实现了基于TCP报文的防火墙渗透测试系统。该系统能够直接对目标主机进
行探测,发现防火墙保护下主机是否在线,同时分析防火墙保护下主机的端口、服务开放情况和操作系统类型等基本信息。这些信息既可以为安全检测服务,也可以为网络攻攻击提供基础。     

基于Linux主机IPv6防火墙的设计与实现

针对频繁发生的“网络黑客”事件，创新地设计与实现了基于Linux主机的IPv6防火墙，主要论述了数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块的设计与实现。首先阐述了信息安全及防火墙的重要性，给出防火墙的概念和原理：然后分析基于Linu）（主机的IPv6防火墙系统总体设计思路．最后论述基于Linux主机的IPV6防火墙的设计与实现，并详述其具体实现的各个模块。     

Firewall policy verification and troubleshooting

Firewalls are important elements of enterprise security and have been the most widely adopted technology for protecting private networks. The quality of protection provided by a firewall mainly depends on the quality of its policy (i.e., configuration). However, due to the lack of tools for verifying and troubleshooting firewall policies, most firewalls on the Internet have policy errors. A firewall policy can error either create security holes that will allow malicious traffic to sneak into a private network or block legitimate traffic disrupting normal traffic, which in turn could lead to diestrous consequences.We propose a firewall verification and troubleshooting tool in this paper. Our tool takes as input a firewall policy and a given property, then outputs whether the policy satisfies the property. Furthermore, in the case that a firewall policy does not satisfy the property, our tool outputs which rules cause the verification failure. This provides firewall administrators a basis for how to fix the policy errors.Despite of the importance of verifying firewall policies and finding troublesome rules, they have not been explored in previous work. Due to the complex nature of firewall policies, designing algorithms for such a verification and troubleshooting tool is challenging. In this paper, we designed and implemented a verification and troubleshooting algorithm using decision diagrams, and tested it on both real-life firewall policies and synthetic firewall policies of large sizes. The performance of the algorithm is sufficiently high that they can practically be used in the iterative process of firewall policy design, verification, and maintenance. The firewall policy troubleshooting algorithm proposed in this paper is not limited to firewalls. Rather, they can be potentially applied to other rule-based systems as well.     

Linux环境下IPv6分布式防火墙的探讨

该文创新地设计与实现了基于Linux主机的IPv6分布式防火墙。首先阐述了分布式防火墙的概念和原理;接着分析基于Linux主机的IPV6分布式防火墙系统总体设计,然后,论述基于Linux主机的IPV6主机防火墙的设计与实现,并详述其具体实现的各个模块,最后对本系统进行了性能测试。     

利用Linux系统构建包过滤防火墙

互联网是一个开放的系统,设置防火墙是保护计算机的重要手段之一。Linux以其可定制性成为设置防火墙的道选。本文采用CentOS4.5(内核为2.6.9)内置的netfilter/iptables软件建立包过滤防火墙,并附上笔者所在学校使用的Web服务器的IPTables脚本以供参考。     

DFW与入侵检测在校园网中的应用研究

本文在比较传统防火墙与分布式防火墙(Distributed Firewall,DFW)的基础上,研究了基于分布式防火墙的入侵检测系统在校园网中的应用及有关实施要素。主要包括:分布式防火墙的工作原理和体系结构分析,面对校园网需求的分布式防火墙入侵检测系统的需求分析与设计原则,以及多层安全保护体系和安全审计策略配置等关键技术。     

基于智能型防火墙INTRANET 下的 网络安全技术

Intranet 最关键的一个特征就是安全性,随着Intranet 的快速发展及广泛应用,其安全性成为重点关注的问 题。本文分析传统防火墙的类型及存在的主要缺陷,介绍智能型防火墙日常工作原理、设计结构,提出基于智能型防火墙INTRANET下网络安全技术的实现方法,这种设计方案克服传统防火墙对没有列出的黑客攻击不予理睬等弊端,提高网络的安 全性和可靠性。     

Improving cloud network security using the Tree-Rule firewall

This study proposes a new model of firewall called the ‘Tree-Rule Firewall’, which offers various benefits and is applicable for large networks such as ‘cloud’ networks. The recently available firewalls (i.e., Listed-Rule firewalls) have their limitations in performing the tasks and are inapplicable for working on some networks with huge firewall rule sizes. The Listed-Rule firewall is mathematically tested in this paper to prove that the firewall potentially causes conflict rules and redundant rules and hence leads to problematic network security systems and slow functional speed. To overcome these problems, we show the design and development of Tree-Rule firewall that does not create conflict rules and redundant rules. In a Tree-Rule firewall, the rule positioning is based on a tree structure instead of traditional rule listing. To manage firewall rules, we implement a Tree-Rule firewall on the Linux platform and test it on a regular network and under a cloud environment respectively to show its performance. It is demonstrated that the Tree-Rule firewall offers better network security and functional speed than the Listed-Rule firewall. Compared to the Listed-Rule firewall, rules of the Tree-Rule firewall are easier to be created, especially on a large network such as a cloud network.     

基于IPSec的分布式防火墙安全体系框架

介绍了分布式防火墙的基本概念和自身存在的安全威胁，描述了基于IPsec的分布式防火墙安全体系框架，包括框架的内、外部设计，阐明了结合IPSec协议的安全体系框架为分布式防火墙提供的安全功能。     

防火墙防护能力检测技术

针对目前常见的包过滤防火墙，文中论述了其保护主机的探测技术，包括防火墙的存在性、类型和ACL规则探测，以及绕过防火墙对保护主机进行连通性、端口探测的相关技术。对防火墙安全测试，检测防火墙的防护能力具有一定的实用价值。     

防火墙脆弱性分析及对策研究

阐述了防火墙技术原理,分析了其安全脆弱性,介绍了容入带防火墙入侵检测技术（IDS）的VPN,设计了防火墙技术体系结构,并提出了应对常见攻击方式的策略。     

局域网防火墙的设计与实现

本文设计与实现了局域网防火墙。首先阐述了防火墙的原理,然后分析防火墙系统总体设计,最后论述防火墙的设计与实现,并详述其具体实现的各个模块。