一种分布式防火墙过滤策略的异常检测模型

分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并建立了一个过滤策略异常检测的模型。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。     

高校校园网安全防火墙的设计与实现

随着网络技术的发展和网络规模的扩大,传统防火墙难以满足现代校园网安全的需要.针对这种情况,将分布式防火墙技术应用于小型网络环境中,利用其分布性特征来解决小型网络条件下对特定服务的需求,并实现了一个分布式防火墙的模型系统.     

防火墙审计方案的分析与设计

防火墙作为一种必不可少的网络安全防护工具,被广泛应用在各种不同的网络环境中,而网络地址转换策略是防火墙的核心策略之一,承担着保护内网、地址复用等职责。由于当前多数网络中的防火墙都缺乏统一的管理与审计,导致配置混乱、效率低下等情况时常发生。为了尽量避免以上情况的发生,文章提出了NAT替换算法和NAT对比算法,在此基础上设计了一种审计思科防火墙NAT策略的方法流程,并对其有效性进行了分析。     

DFW与入侵检测在校园网中的应用研究

本文在比较传统防火墙与分布式防火墙(Distributed Firewall,DFW)的基础上,研究了基于分布式防火墙的入侵检测系统在校园网中的应用及有关实施要素。主要包括:分布式防火墙的工作原理和体系结构分析,面对校园网需求的分布式防火墙入侵检测系统的需求分析与设计原则,以及多层安全保护体系和安全审计策略配置等关键技术。     

基于DFSQL实现分布式防火墙策略异常检测与分析

分布式防火墙在保护网络安全方面发挥着重要作用,但是由于分布式防火墙规则之间的异常,给网络带来了安全隐患.理解并且分析分布式防火墙的功能及存在的异常是必要的但又困难的.因此,文章中引入DFSQL分布式防火墙策略异常查询结构性描述语言,并给出一种适用于分布式防火墙规则异常检测算法,通过仿真实验证明算法的正确性和执行效率.     

第五代防火墙——分布式防火墙

总结了防火墙的发展状况,并且研究和分析了分布式防火墙的强大功能和优势。分布式防火墙能够满足当前网络对安全的需求。     

内部网络的安全防范

针对传统的边界防火墙不能防范内部攻击、单一瓶颈点和失效点等问题,提出了把分布式防火墙系统和分布式入侵检测系统结合在一起的安全系统。由防火墙进行访问控制,入侵检测系统检测入侵行为并反馈入侵信息,中央控制平台对各模块统一管理和配置,从而为内部网络提供了立体的、多层次的防御。     

Linux防火墙技术及配置实例

随着网络在人们工作和生活中的作用越来越重要,对网络安全性的要求也越来越高。建立防 火墙是分隔内外网的有效措施。而Linux系统自带的防火墙工具—netfilter/iptables凭借免费、功能强、使用灵活等优点越来越多地应用到网络中。本文就Linux防火墙做了分析,并且用实例介绍了如何在Linux下通过netfilter/iptables配置防火墙。     

Linux嵌入式IPtables的防火墙设计与实现

防火墙作为网络安全技术的重要手段,已成为使用最多的网络安全解决方案。在对现有防火墙技术分析的基础上,构建了一种基于Linux嵌入式Iptables的防火墙。Iptables管理工具是一种基于包过滤防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。该文是在嵌入式Iptables Netfilter框架下的构建的Iptables策略,用户可以自己编制规则来构建防火墙的过滤策略,使得防火墙具有很好的稳定性与可扩展性。本防火墙包括最基本的包过滤和网络地址转换(NAT)功能,它可以满足小型局域网安全性与网络应用,该文通过玉溪市红塔区农经站防火墙实例介绍了基于Linux嵌入式Netfilter/Iptables的包过滤防火墙的配置过程。     

基于分布的嵌入式防火墙的设计与实现

分布式防火墙是网络防护的一个重要的新途径。它提供了严密的访问控制,从而增强了传统边界防火墙所提供的保护。该文介绍了一种新的分布的嵌入式防火墙,它对出入主机的IP包进行过滤。因为防火墙独立于主机的操作系统,所以它是防篡改的。它在主机的网络插件上实现,并由位于网络的其他地方的受保护的中心策略服务器管理。     

DDFWS:一种新型分布式动态防火墙系统的研究与实现

文中对传统防火墙进行了深入的分析并指出了它们存在的问题和局限，在此基础上，提出了一种新型的分布式动态防火墙原型系统，并给出了系统的设计和实现，该原型系统具有广泛的适用性。     

基于SOAP的分布式防火墙策略发布研究

文章提出了一种基于SOAP的分布式防火墙策略发布方法。介绍了集中式管理中分布式防火墙的体系结构,使用XML描述策略,通过SOAP将策略发布到防火墙上,用SOAP数字签名和加密保证信息传输的安全性。具有平台无关性、语言无关性、易扩展性、能穿越防火墙等优点。这种方法也可用于分布式防火墙管理信息的传输。     

Betweenness estimation in OLSR-based multi-hop networks for distributed filtering

In traditional networks special efforts are put to secure the perimeter with firewalls: particular routers that analyze and filter the traffic to separate zones with different levels of trust. In wireless multi-hop networks the perimeter is a concept extremely hard to identify, thus, it is much more effective to enforce control on the nodes that will route more traffic. But traffic filtering and traffic analysis are costly activities for the limited resources of mesh nodes, so a trade-off must be reached limiting the number of nodes that enforce them. This work shows how, using the OLSR protocol, the centrality of groups of nodes with reference to traffic can be estimated with high accuracy independently of the network topology or size. We also show how this approach greatly limits the impact of an attack to the network using a number of firewalls that is only a fraction of the available nodes.     

最新分布式防火墙技术研究

防火墙是网络安全保护中最常采用的技术,而随着网络技术和应用的发展,传统的防火墙面临巨大的挑战,其缺陷也日益显现,分布式防火墙技术正是应运而生的下一代防火墙技术。本文探讨了分布式防火墙的工作机制和体系结构,分布式防火墙的主要特点和功能,以及分布式防火墙之于网络安全的主要优势。     

分布式防火墙策略异常检测与分析

为了克服传统防火墙的局限性,分布式防火墙的概念应运而生。在分布式防火墙中,安全策略统一制定,由各主机负责实施,很好地解决了边界防火墙安全策略越来越膨胀的弊端及内部网的安全性问题。论文对分布式防火墙的本质特征,体系结构和运做过程进行了详细的阐述。     

CORBA防火墙安全技术研究

传统防火墙通过保护网络入口点防止未授权的访问，这并不适用于CORBA在Internet上使用的IIOP协议，因此OMG提出CORBA防火墙安全性，旨在提供控制IIOP透过防火墙通信的标准方式，允许外部有控制地访问CORBA对象。文章介绍了CORBA分布式系统及防火墙，CORBA防火墙相对于传统防火墙的特殊问题，详细阐述了CORBA系统中的解决方案，对TCP防火墙、SOCKS防火墙，GIOP代理防火墙的运行机制进行了分析。     

防火墙在传输网络中的吞吐量与管理问题及解决方案

讨论防火墙在大型传输网络(Transit Network )应用中的管理和吞吐量问题：一是手工方式配置分布在各个接入点的多个防火墙,无法适应开放的、动态的网络环境;二是大量的过滤规则导致防火墙吞吐量下降.针对大量防火墙的管理问题,该文提出了一种访问控制政策的自动分配与动态配置模型,将全局过滤规则自动地分发到相应的防火墙;同时利用入侵监测系统和搜索引擎的结果,自动定位防火墙、动态配置过滤规则,实时地过滤不良站点,终止攻击行为.针对单个防火墙的吞吐量问题,提出了一种基于散列表的规则匹配算法,该算法可以将时间复杂度从O(N)降低到O(1),从而大大提高防火墙的吞吐量.     

基于软件定义网络的反嗅探攻击方法

网络嗅探攻击中,攻击者从网络节点或链路捕获和分析网络通信数据、监视网络状态、窃取用户名和密码等敏感信息。在攻击发生时,攻击者通常处于静默状态,传统的网络防护手段如防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）很难发现并有效抵御攻击。从网络结构入手,提出基于软件定义网络（SDN）的动态路径跳变（DPH）通信机制,依据空间和时间约束条件,动态改变通信节点之间的路径,宏观上将通信流量相对均匀地分布在多条传输链路中,增加网络嗅探攻击中获取完整数据的难度。实验仿真结果说明,在一定的网络规模下,动态路径跳变能够在不明显降低网络传输性能的条件下有效防御嗅探攻击。     

基于防火墙与入侵检测系统联动的校园网GSN全局部署

本文介绍了校园网的安全现状和校园网面临的主要威胁,分析了防火墙、入侵检测系统存在的不足,结合学院校园网实际情况给出GSN全局安全网络部署方案,并针对GSN全局安全网络第三阶段部署中存在的网络安全问题,提出基于开放端口的防火墙与入侵检测系统的联动模式,并给出具体实现方案。实践证明这种联动可以有效提升防火墙的机动性和实时反应能力,增强了入侵检测系统的阻断功能。