共查询到18条相似文献,搜索用时 156 毫秒
1.
基于专用协议栈的防火墙网关研制 总被引:1,自引:1,他引:1
以netfilter网络防火墙为例,分析基于通用TCP/IP协议栈的防火墙网关的实现和存在问题,进而提出了基于专用协议栈的防火墙网关的设计和在Linux系统上的实现。 相似文献
2.
IPv6下基于病毒过滤防火墙的设计与实现 总被引:1,自引:0,他引:1
包过滤防火墙无法检测出网络病毒,因此对其研究很有必要.设计的防火墙屏蔽了Linux自身的TCP/IP协议栈,重新构建了适合防火墙专用的TCP/IP协议栈,完成了防火墙上TCP协议的连接保持、数据包确认、文件传输等功能.防火墙主要考虑了HTTP协议下的文件过滤,使得内网主机在通过HTTP协议下栽文件时自动过滤病毒文件,保证内网主机的安全;防火墙以Linux可加栽内核模块形式实现,可以过滤链路层以上的各层;为提高病毒检测速度,提出了将病毒检测软件运行在核心态的方法.实验结果表明:设计的防火墙在性能和功能上都达到了预期目的. 相似文献
3.
4.
5.
针对传统包过滤防火墙解决不了的基于内容的网络攻击,而可以完成内容过滤的应用层代理型的防火墙又效率低下的问题,文章提出了一种基于嵌入式协议栈的内容过滤防火墙方案,通过在包过滤防火墙结构中增加嵌入式协议栈模块完成内容过滤,提高了内容过滤的效率。 相似文献
6.
7.
唐婷 《计算机光盘软件与应用》2014,(7):155-156
本文主要描述基于linux软件系统硬件防火墙的IPV6协议栈改造,以适应防火墙多功能的支持。IPV6功能是智能网络设备中必须实现的服务之一,帮助客户在网络部署上能更方便的接入IPV6环境,对于提高设备适应性上都有积极的作用。 相似文献
8.
本文提供一种电力保护装置站控制层网络的防火墙策略及其实现。由于电力保护装置的特殊性,其防火墙策略有其独特的特点,不同的保护装置所使用的操作系统、协议栈可能不同,防火墙策略本身是一种报文处理逻辑的抽象,并不会受具体系统的影响,只是防火墙策略的实现需要依赖于保护装置自身的操作系统、协议栈。策略本身是抽象的方法论,与具体的系统没有关系,在不同的系统上有不同的实现方式,即策略统一、实现方式不同。在Linux操作系统上实现电力保护装置的防火墙来对防火墙策略进行说明,在Linux系统上利用netfilter子系统和nftables工具实现电力保护装置的防火墙策略,防火墙仅是电力系统保护装置网络安全架构的一小部分。 相似文献
9.
提出了一种基于Linux的网络防火墙中协议栈指纹消除的方法,其基本思想是,动态地修改Linux内核的协议数据包处理流程,屏蔽掉操作系统对数链层以上的数据包处理流程,消除了操作系统所固有的协议栈指纹,可以较好地防范黑客对防火墙的攻击。 相似文献
10.
11.
在现有各种防火墙技术中,包过滤防火墙具有速度快、安全性较高等优点,而现有工作站中又广泛采用的UNIX系统都是基于V,它们的网络协议栈采用流(STREAMS)机制实现。文中就是基于这个背景,设计并实现了包过滤防火墙。实践证明,基于流机制的包过滤防火墙具有隔离性好、通用性好、管理方便等优点。 相似文献
12.
基于Winsock技术的数据包解析研究 总被引:5,自引:1,他引:4
数据包解析技术是数据包过滤的基础。对数据包进行解析,是基于数据包过滤的防火墙要解决的核心问题,构造数据包的协议有很多种,要根据构造数据包的协议对该包进行处理,要正确理解在网络中传榆的单元,进而才能很好地控制网络单元的传输,实现数据包的过滤。Winsock的服务提供者编程接口的编程技术,打破了底层网络服务提供者的透明性,提供了修改系统SPI接口服务的可能性,利用这项技术能比较容易地完成数据包过滤功能,具体地说就是能增加一些自定义的功能函数,来实现数据包通信的控制,比如截获、转发、丢弃数据包等功能,也就是所说的防火墙实现的功能。当然也可以在这个基础上延伸下去,从而可以完成诸如传输质量控制、扩展TCP/IP协议栈、URL过滤及网络安全控制等功能。 相似文献
13.
论述了防火墙技术可以对进出网络的数据进行控制,有效地对内部网络实施保护,而流量调节技术通过按优先级发送不同类别的信息量,达到改善网络服务质量的目的,文中将两种技术相结合,构建了某企业CAD网络的防火墙WQ-Firewall的安全系统,以求在获得安全的同时提高网络性能,在Linux系统上实现了加权优先级队列的防火墙,在对IP包进行过滤的同时,根据其IP地址、TCP端口协议类型等信息,为它们分配了不同 相似文献
14.
A firewall is a security guard placed at the point of entry between a private network and the outside network. The function of a firewall is to accept or discard the incoming packets passing through it based on the rules in a ruleset. Approaches employing Neural networks for packet filtering in firewall and packet classification using 2D filters have been proposed in the literature. These approaches suffer from the drawbacks of acceptance of packets from the IP address or ports not specified in the firewall rule set and a restricted search in the face of multiple occurrences of the same IP address or ports respectively. In this paper we propose an Ant Colony Optimization (ACO) based approach for packet filtering in the firewall rule set. Termed Ant Colony Optimization Packet Filtering algorithm (ACO-PF), the scheme unlike its predecessors, considers all multiple occurrences of the same IP address or ports in the firewall rule set during its search process. The other parameters of the rule matching with the compared IP address or ports in the firewall ruleset are retrieved and the firewall decides whether the packet has to be accepted or rejected. Also this scheme has a search space lesser than that of binary search in a worst case scenario. It also strictly filters the packets according to the filter rules in the firewall rule set. It is shown that ACO-PF performs well when compared to other existing packet filtering methods. Experimental results comparing the performance of the ACO-PF scheme with the binary search scheme, sequential search scheme and neural network based approaches are presented. 相似文献
15.
Linux内核防火墙Netfilter实现与应用研究 总被引:26,自引:1,他引:26
介绍了Linux内核防火墙的发展,对2.4.x内核中的Netfilter框架的流程和Pv4协议栈中Netfilter的实现进行了分析,通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法,对Netfilter框架下的防火墙高级功能扩展进行了展望。 相似文献
16.
提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。 相似文献
17.