基于Linux包过滤防火墙的设计与应用

研究以保护网络安全为目的的防火墙技术，设计了基于Linux的包过滤防火墙，文中着重叙述了Linux环境下数据包捕获的实现，并对数据包捕获模块和数据库查询模块进行了阐述与分析,实验结果说明，该技术可靠、稳定，且具有一定的实用性。     

Linux 下防火墙的实现

介绍了2种主要的防火墙技术——包过滤和应用代理，具体探讨了Linux内核中的防火墙管理工具Ipchains以及如何在Linux环境下使用它来实现防火墙．     

基于Linux包过滤的防火墙技术及应用

讨论了Linux操作系统内核的Ipchains软件包工作原理。利用Ipchains中的输入链、输出链、转发链和自定义链等防火链,通过设置一系列规则,过滤被主机接收、发送或转发的数据包或主机从一个网卡转发到另一个网卡的数据包,实现根据源地址、目的地址、协议号等信息控制访问,企业无须专门的防火墙产品,即可建立包过滤防火墙。该技术适用于中小企业或部门级用户。最后给出一个在局域网环境下用Ipchains实现Linux防火墙的具体实例。     

基于Linux的防火墙系统的设计与实现

在当前防火墙相关技术中,Linux防火墙已经成为不可忽视的重要力量.本文首先对Netfilter的内核架构进行了分析,并在此基础之上,采用模块编程方式开发了一个高效的、稳定的、实用的基于包过滤的防火墙系统.实践证明由于Linux防火墙的开源性,Linux下的防火墙实现机制是一个值的探讨的领域.     

桥式网络防火墙的设计技术

为解决局域网的安全以及linux防火墙策略配置难的问题,在分析Linux以太网桥的基础上,以包过滤为例介绍了在Linux操作系统下实现网桥防火墙的方法.同时通过socket编程,实现了基于图形界面的防火墙的远程管理技术.结果表明,基于网桥的防火墙比传统网关型防火墙具有更好的灵活性和更高的安全性,能够实现数据包过滤与防止黑客入侵的功能,性价比高,方便网络管理员的使用.     

数据包高效透明转发研究及实现

为了提高双网口相互转发数据包的透明模式防火墙的性能,在分析数据包收发流程以及Netfilter框架的基础上,提出了一种获取发送网卡信息的新方法,并且基于该方法设计并实现了带状态检测和简单包过滤两种功能的透明模式防火墙.测试结果表明,与使用Linux bridge结合Netfilter构建的透明模式防火墙相比,这两种防火墙中的数据转发和过滤更加简洁高效.     

基于Intel千兆网卡的高速包捕获技术的研究与实现

针对传统数据包捕获方法的技术瓶颈,结合零拷贝思想,实现了一种基于Intel千兆网卡具有较高性能的数据包捕获平台。通过对libpcap及其改进版本libpcap-mmap的实现机制的分析,找出影响其捕获性能的技术缺陷。结合零拷贝技术,在解决了内存映射和同步访问等问题的基础上,避免了报文在传输过程中的多次拷贝,实现了用户程序与网卡接口设备的直接交互;充分利用Linux所支持的NAPI技术,减少内核中断响应,解决中断湮没问题。以上两点大大提高了报文捕获性能,减轻了CPU的负担,同时降低了用户级PC成为高性能报文处理系统的技术门槛。     

Linux平台下电信级计费网关研究

设计了基于Linux内核的电信级计费网关模型，实现了一种在x86硬件上使用Linux内核进行包过滤的计费系统原型。论文的主要研究工作：使用Netfilter框架，完成了网络层的数据包重组、以及应用层的报文头分析；实现了在内核中对HTTP协议的数据流进行解析及过滤，并提取出计费所需的重要信息：使用x86电信服务器对系统原型进行了实例测试，通过性能分析，证明了该系统的可用性.     

基于NDIS中间驱动程序的防火墙的研究与实现

首先深入研究和分析了NDIS的内部结构和中间驱动程序的工作机制 ,介绍了包过滤防火墙和数据包拦截技术。在此基础上 ,设计并实现了一个基于NDIS中间驱动程序的包过滤型防火墙系统 ,它包括内核态包过滤驱动程序和用户态应用程序。最后 ,对本次研究和开发工作进行了总结 ,并对NDIS中间驱动程序在今后的技术应用作了探讨和展望     

IP层保密通讯技术研究及设计实现

针对Ｗindows2000下自带的IPSec与Linux的IPSec相互通讯比较困难的问题，在对Linux IPSec、NDIS网络驱动程序以及对WDM设备驱动程序的研究基础上，设计并实现了一个基于中间层驱动程序的、能与Linux IPSCE通讯的Windows平台下的IPSec，中间层驱动程序对过往的数据包进行加密或者解密操作。通过WDM设备驱动程序与上层应用程序的通讯机制，实现应用层与内核的双向通讯，即应用层向内核传递密钥及其他配置信息，内核向上层应用程序提供底层的配置信息。此外，在Linux IPSec源代码的基础上增加了安全审计功能，具体测试结果表明，这个系统可以与Linuxk IPSec通信。     

POM库模块扩展功能剖析与应用研究

为了提升Linux防火墙的性能,依据Linux2．4内核Neffflter框架原理,利用Iptables包过滤防火墙规则和POM库模块的功能,提出了防火墙配置的简化方法及其扩展功能,给出模拟实例．结果表明,该配置方法可以提高防火墙的效率,扩展其功能,并使规则文件更利于维护．     

Linux 内核中IP包过滤的实现方法分析

网络安全在现代社会中的地位越来越重要,IP包过滤技术是防火墙技术中的基础。通过对Linux内核源代码的分析,详细阐述了在Linux内核中实现IP包过滤的基本方法,同时对IP伪装和网络地址转换（NAT）的实现作了简要的介绍,对理解软件防火墙中的包过滤机制具有一定的参考意义。     

Linux系统安全问题分析与研究

本文针对Linux本身所具有的良好安全机制,从不同角度阐述了如何设置才能更好地提高系统安全性。接着重点介绍了与Linux内核集成的iptables包过滤系统,在此基础上实现了一个简单的linux防火墙系统,经实际测试能够达到对外网防御内网保护的目的。     

高效的iptables规则集管理机制的研究与实现

Iptables是Linux中的防火墙的配置工具,它主要通过各个表中的有序规则链对网络数据包进行过滤和筛选进而有效抵制网络入侵与攻击.该文提出一种采用hash表对防火墙规则中IP地址进行高效管理的方法,实现一条规则能匹配一个地址集或一个地址集用于多条规则,在进行一次规则匹配的同时,能够映射多个IP地址,从而可以有效减少...     

Linux下基于iptables的防火墙设计与实现

该设计以Fedora Core 9为开发平台．利用Linux内核内置的iptables机制,实现了一个适用于小型企业,并具有IP共享器功能的防火墙。     

基于ARM-Linux的防火墙设计

设计并实现了以ARM11内核S3C6410处理器和2片DM9000网卡控制器为平台的主动防火墙硬件平台,设计了DM9000的Linux驱动,以Linux操作系统的Netfilter防火墙框架为基础加入入侵检测模块和响应模块,形成一个以规则策略集为中心的集检测、防护和响应为一体的主动防御系统。     

网络防火墙远程控制及关键技术应用研究

研究了基于远程控制的服务器与客户端的Socket通信和网络防火墙中的远程控制端的算法设计在Linux操作系统平台上将防火墙的包过滤、网络地址转换、MAC和IP地址绑定等各项功能进行整合;通过基于C/S模犁的Sorket通信程序设计,成功地实现了防火墙的远程控制,解决了实验室IP地址冲突以及防火墙策略设置复杂的问题.     

Iptables规则集的优化设计

随着网络功能的日益强大,防火墙的性能已经成为影响网络流量的瓶颈,因此在要求防火墙功能强大的同时希望其性能也更高。Linux作为一种开源的操作系统,以其稳定性和安全性著称。Netfilter/iptables系统是Linux下的一个功能非常强大的防火墙系统。针对使用iptables防火墙管理程序建立的防火墙,本文提出了从三个方面去优化它的方法：规则组织、state模块的使用以及用户自定义规则链,使数据包做尽可能少的测试,尽可能快的通过防火墙,最终达到提高防火墙性能的目的。