NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置。文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现。测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生。     

移动网络数据安全策略的分析与应用

通过对国内外大量现有网络信息安全技术优缺点的对比分析,梳理了现有网络数据常用的安全策略及技术,包括防火墙技术、数据加密及用户授权访问控制技术、防病毒技术等。再,结合移动网络数据的存储环境,构建包括系统管控、防火墙策略及用户权限管理等安全保障评估体系;,并采用4A系统和金库等最新安全管控技术,完善其组织的安全环境,实现对移动网络全方位的安全把控,弥补现有技术的不足,完善现有的安全保障机制提高信息防护的效果及其保证数据应用的效益。     

Security based on network topology against the wiretapping attack

In wireless networks, an attacker can tune a receiver and tap the communication between two nodes. Whether or not some meaningful information is obtained by tapping a wireless connection depends the security protocols used. One may use cryptographic techniques to secure the communications. In this article we discuss an alternate way of securing the communication between two nodes. We provide a simple security protocol against a wiretapping attack based on the network topology. Although we study the problem from a theoretical perspective, our protocol is easily implementable. Our protocol is at least as secure as any other protocol against these attacks. We show that an attacker can get any meaningful information only by wiretapping those links that are necessary for the communication between the sender and the receiver. We use techniques from network encoding. Our protocol works for any network topology, including cycle networks. We note here that acyclicity is the main assumption in much of the network encoding literature.     

基于卷积神经网络的安全防御模式研究

计算机网络在为人们提供各种便利服务的同时也面临着许多的安全威胁,如木马或病毒等.不法分子通过网络攻击,破坏网络服务和用户数据,为人们带来严重的威胁.网络安全专家和企业机构提出了很多安全防御技术,一定程度上提高了网络安全防御能力,但是随着互联网数据和流量的快速增加,网络攻击的种类和数量呈现出指数级增长,急需提出新的防御技...     

空管设备状态数据通信安全研究

为了实现对分散空管设备的集中监控和管理,从数据加密、防火墙、虚拟专用网、单向串口通信及网络安全培训等多个方面对数据通信安全进行研究,提出应根据具体情况综合使用多种安全措施保障空管设备状态数据通信安全的建议,实现保证原有设备和系统的隔离性的同时,安全可靠地对空管设备进行集中监控和管理。这个数据通信安全建议的提出对通信结构相似的远程设备集中监控系统也具有一定的指导意义。     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

光纤通信窃听及其检测技术探讨

由于光纤通信的容量越来越大,并且许多业务流量涉及敏感和机密信息,这必然吸引一些攻击者进行窃听、假冒甚至实施中断服务攻击;又由于信道故障和严重的信号损耗导致的业务中断都将引起网络拥塞和大量业务流量的丢失。因此,建立快速检测和恢复策略,实现对网络态势的实时监控,并对恶意入侵和光学参数的内在衰减事件进行快速响应,对未来光纤网络的正常运行将起到十分重要的作用。文中主要对光纤窃听方法、光纤窃听检测技术、防范光纤窃听的新技术等进行了介绍和分析。     

网络通信安全及防火墙技术研究

网络技术的快速发展,对提高工作生活质量具有重要意义,但是对于网络运行环境来说,各类信息在保存与传输过程中,更容易受外界因素的干扰和攻击,存在较大的安全隐患.为提高网络通信的安全性,需要采取有效措施来保证通信过程中可以抵抗外部干扰.防火墙技术的应用可以满足此类要求,本文对防火墙技术特点以及原理进行了分析,并提出其应用的要点,争取减少网络通信所存安全隐患.     

现代防火墙实现技术

现代网络技术的发展，网络应月的不断深入，传统网络型防火墙已难以满足要求，迫切需要一种能保障每个网络端点安全的产品。分百式防止墙将分布式对象技术引入到防火墙技术当中，能根据端点的不同定义不同的安全级别，同时安全策略的实施是通过网络硬件米实现的。     

3G防火墙中GTP策略的设计

随着3G技术和标准的完善,系统和终端的成熟,业务和应用的发展,3G已在日、韩、欧洲等国家和地区进入商用阶段,国内运营商也在加紧对3G网络的部署.为了保证3G系统中核心网(CN)的安全,防止外部网络攻击,保护终端用户安全,必须在核心网络的Gn/Gp,Gi口部署3G防火墙.文中通过对3G网络、GTP协议的分析,给出了3G防火墙中GTP策略的设计.     

一种高效的低成本内网蜜罐系统部署方案

蜜罐是一种安全资源,其价值在于被探测、攻击和损害,无论是实系统蜜罐还是伪系统蜜罐,传统的蜜罐部署方式都存在部署成本高、部署效率低的问题。文中通过融合防火墙安全域配置策略、IP地址NAT技术、终端探测技术、二层协议栈分析技术等,为企业网络提供了一种切实可行的低成本并能快速和大范围部署的蜜罐系统部署方案,其具有高感知能力,解决了传统蜜罐部署成本高、效率低、安全关联风险大的问题,对于促进蜜罐系统大范围推广部署具有积极的意义。     

防火墙技术在计算机网络安全中的应用

计算机网络具有数据通信、信息处理、资源共享等功能与特点，其经常会出现一些网络安全隐患，降低计算机运行的效率。为保证计算机网络安全，需要应用防火墙中的加密技术、安全防护技术、数据修复技术等，以减少外部攻击，降低网络安全隐患；实现数据加密，提升网络数据的安全性；加强计算机网络的访问安全；对日志监控、安全配置进行防护；分析用户的危险行为，提升路由器防护效果。通过应用防火墙技术，可以让计算机网络更加安全，使用效率更高。     

入侵防御系统(IPS)的技术研究及其实现

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统(Intrusion Detection System)的不足而新发展起来的一种计算机信息安全技术.不同的入侵防御系统实现的方式各不一样,但其共同点是综合了防火墙防御功能和入侵检测系统的网络数据包检测功能,紧密实现了上述两安全系统的互动互利,对受保护网络进行更为完善的保护.论述了入侵防御系统的两种体系结构,并对其中的关键技术作了介绍.在最后提出了一个入侵防御原型系统的实现方式以供探讨.     

Automated pseudo-live testing of firewall configuration enforcement

Network security devices such as firewalls and intrusion detection systems are constantly updated in their implementation to accommodate new features, performance standards and to utilize new hardware optimization. Reliable, yet practical, testing techniques for validating the configuration enforcement after every new software and firmware update become necessary to assure correct configuration realization. Generating random traffic to test the firewall configuration enforcement is not only inaccurate but also impractical as it requires an infeasible number of test cases for a reasonable testing coverage. In addition, in most cases the policies used during testing are manually generated or have limited configuration profiles. We present a framework for automatic testing of the firewall configuration enforcement using efficient and flexible policy and traffic generation. In a typical test session, a large set of different policies are generated based on the access-control list (ACL) grammar and according to custom profiles. Test packets are generated to particularly consider critical segments of the tested policies and to achieve high coverage of the testing space. We also describe our implementation of a fully-automated framework, which includes ACL grammar modeling, the policy generation, test cases generation, capturing and analyzing firewall output, and creating detailed test reports. Our evaluation results show that our security configuration testing is not only achievable but it also offers high coverage with significant degree of confidence.     

信息安全在邮政金融网中的实现

随着邮政金融网络化进程的推进,邮政金融系统的安全风险也越来越高,因此如何实现网络信息安全成为保证邮政金融系统正常运行至关重要的因素.文中介绍了实现网络信息安全的有关技术及实现方法,如数据加密、数字签名、防火墙等.通过应用这些安全防范技术,提出相应的网络信息安全方案,使邮政金融信息能够安全地在网络中进行通信.合理的网络安全方案和完善的管理体制是邮政金融网络系统安全运行的必要条件.     

Conflict classification and analysis of distributed firewall policies

Firewalls are core elements in network security. However, managing firewall rules, particularly, in multifirewall enterprise networks, has become a complex and error-prone task. Firewall filtering rules have to be written, ordered, and distributed carefully in order to avoid firewall policy anomalies that might cause network vulnerability. Therefore, inserting or modifying filtering rules in any firewall requires thorough intrafirewall and interfirewall analysis to determine the proper rule placement and ordering in the firewalls. In this paper, we identify all anomalies that could exist in a single- or multifirewall environment. We also present a set of techniques and algorithms to automatically discover policy anomalies in centralized and distributed firewalls. These techniques are implemented in a software tool called the "Firewall Policy Advisor" that simplifies the management of filtering rules and maintains the security of next-generation firewalls.     

网络防火墙技术的发展与应用分析

文中对网络防火墙技术的发展与应用现状进行了分析,旨在提升网络防火墙技术的保护能力,提高网络的安全性。首先,介绍了网络防火墙的定义、作用及其在网络安全中的重要性。然后,总结了网络防火墙技术的发展历程,包括传统防火墙、下一代防火墙和云防火墙等。接着,探讨了网络防火墙技术在不同领域的应用现状,如企业网络、云计算和物联网等。最后,展望了网络防火墙技术的未来发展趋势,并提出了相关建议。     

一种ATM/MPLS网络的负荷分担方案

在某一ATM/MPLS体制的保证信息安全的通信试验网络中,网络流量呈星形分布,各个单元传送到中心节点应用网络的业务量通过单个100Mb/s以太网接口不能满足要求,需要通过多个端口接入MPLS网络。针对如何在接入的多个端口之间进行负荷分担的问题,提出了一种基于路由模式工作的防火墙网络地址转换NAT功能及MPLSTE实现的负荷分担方案,简单实用,该方案已经成功应用于实际的组网环境,并通过试验验证能够满足系统的应用需求。     

基于数据挖掘的入侵检测技术

入侵检测技术是一种主动保护网络免受黑客攻击的安全技术，他是继防火墙、数据加密等传统安全保护措施后的新一代的网络安全保障技术。当前的入侵检测系统在网络的变化或升级上缺乏扩展性，对新的攻击模式缺乏自适应性。基于数据挖掘的入侵检测系统具有一定的自学习性和自完善性，可以检测已知或未知的入侵行为。本文分析了将数据挖掘技术运用到入侵检测系统的研究方法、体系结构及存在的问题。     

IP技术在民航空管通信网络建设中的应用研究

在民航领域，民航空管信息系统发挥着重要作用，其是指挥民用航空飞机智能中枢的重要组成部分。随着科技的进步与发展，民航空管通信网络技术以IP技术为基础信息架构，同时融合了移动通信技术、语音传输技术、数据传输技术等，成为一个复杂的智能系统，具有强大的通信能力，且稳定较强。随着现代信息技术的迭代升级，网络信息系统日益呈现出共享、开放、安全的核心价值要求，网络通信技术也逐渐被各领域应用。民用航空领域也是如此，尤其是民用航空飞机的安全运行，离不开民用航空空管通信网络的支持，这是保障民用航空出行的基础，是民用航空领域发展的基石。因此，应不断升级优化民航空管通信系统的软硬件设施，保障通信系统的稳定性，促进民航领域的不断升级、优化。文中介绍了民航空管通信网络，以期提高通信网络的安全性、稳定性，保证空管通信服务的顺利开展。