防火墙中规则的翻译及检测方法的研究

iptables的Web配置系统，虽然使防火墙的规则输入变得非常容易操作，避免了输入规则的语法错误，而同时又保持了iptables的强大功能，但没有考虑规则之间的联系。在以往的防火墙规则输入过程中，规则都由用户判定其语义是否正确，规则之间是否矛盾，是否有无用的规则。但因规则的语义是与其在规则表中的位置相关的，因此，当规则较多时，很容易出错。因此文中针对基于Linux防火墙的包过滤系统，提出了如何对包过滤规则进行翻译和正确性检测。     

Linux下Netfilter/Iptables防火墙的研究与实现

防火墙作为网络安全技术的重要手段,已成为使用最多的网络安全解决方案。本文研究了基于Linux内核的Netfileter框架的iptables包过滤防火墙,详细介绍了iptables的用法和各规则链的作用。最后给出了一个在局域网环境下利用iptables实现Linux防火墙的实例。     

Netfilter/iptables防火墙的控制与使用

本文通过研究Linux2.4新内核Netfilter框架的iptables包过滤防火墙,介绍了如何控制和使用iptables防火墙。     

基于Linux的IPv6防火墙研究

本文介绍了IPSec协议,深入研究了基于Linux2.4内核的Netfilter/iptables数据包过滤器系统,给出了一个IPv6包过滤防火墙设计方案。     

一种基于统计分析的自适应性动态过滤规则优化方法

防火墙过滤规则是否合理直接影响到防火墙系统的性能,但是如何检查过滤规则之间的先后顺序对防火墙安全性的影响是至关重要的,为此提出了具有自适应特性的基于统计分析的动态过滤规则优化的方法。该方法根据统计数据动态调整过滤规则的相对次序,使其和当前网络流量特性相一致,并且具有自适应性,提高了防火墙系统智能,而且还可以检查出系统的有效过滤规则,以及检查防火墙过滤规则是否存在安全漏洞。     

Iptables包过滤防火墙在代理服务器中的应用

iptables是一种功能强大,应用普遍的防火墙。本文以中小型企业的代理服务器为基础,基于linux操作系统,介绍了iptables的工作原理,结合iptables的特点,建立防火墙脚步,提出了一种资金投入很少但很有效的包过滤防火墙,控制内网的网络连接。     

基于Linux的IPv6复合防火墙的设计

首先介绍了IPSec协议,然后介绍了基于Linux内核的Netfilter/iptables数据包过滤器系统,通过IP6tables和Squid相互结合,设计出了一个IPv6包过滤防火墙设计方案。     

Linux下防火墙系统的研究

本文主要研究在linux下如何根据自己的需要构建防火墙系统,Linux2.4内核中集成了iptables是最新的解决方案。本文讨论了如何确定安全策略,如何构造体系结构,以及如何利用Netfilter实现包过滤,这包括过滤规则的配置和地址伪装规则的配置。为了使配置的规则长期有效,并且如果过段时间,管理员觉得现在的规则不太符合要求,那么他可以随时打开规则配置文件并作出修改,而没有必要因为一两条规则去重新配置,大大减少了管理员的时间。这样就最终实现了linux下的防火墙的配置和管理。     

浅谈iptables在小型企业网络中的应用

网络安全是企业网络设计中重要的环节。iptables是小型企业网络设计中比较好的防火墙选择。iptables是Linux集成的IP信息包过滤工具。通过配置适当的防火墙规则,iptables可以很好地保护企业网络。     

Linux下基于Netfilter的包过滤算法

通过对Linux操作系统下Netfilter防火墙中包过滤技术的分析,发现Netfilter包过滤使用简单的线性分级算法,当防火墙需要匹配的规则越来越多时,防火墙的性能会急剧下降,造成系统瓶颈。因此,提出一种基于二叉树和Hash函数的包过滤算法B—H。通过测试证明,该算法在大量规则的情况下能够达到快速匹配,有效地提高了包过滤的性能。     

Application of evolutionary algorithm in performance optimization of embedded network firewall

With the development of the network, the problem of network security is becoming increasingly serious. The importance of a firewall as the "first portal" to network security is obvious. In order to cope with a complex network environment, the firewall must formulate a large number of targeted rules to help it implement network security policies. Based on the characteristics of the cloud environment, this paper makes in-depth research on network security protection technology, and studies the network firewall system. The system implements unified configuration of firewall policy rules on the cloud management end and delivers them to the physical server where the virtual machine is located. Aiming at the characteristics of virtual machines sharing network resources through kernel bridges, a network threat model for virtual machines in a cloud environment is proposed. Through analysis of network security threats, a packet filtering firewall scheme based on kernel bridges is determined. Various conflict relationships between rules are defined, and a conflict detection algorithm is designed. Based on this, a rule order adjustment algorithm that does not destroy the original semantics of the rule table is proposed. Starting from the matching probability of the rules, simple rules are separated from the default rules according to the firewall logs, the relationships between these rules and the original rules are analyzed, and the rules are merged into new rules to evaluate the impact of these rules on the performance of the firewall. New rules are added to the firewall rule base to achieve linear firewall optimization. It can be seen from the experimental results that the optimization strategy proposed in this paper can effectively reduce the average number of matching rules and improve the performance of the firewall.     

防火墙过滤规则的建模和全面优化

防火墙的管理在今天的企业网络环境中是一个复杂和易出错的任务,网络管理员不能仅仅依靠自己的经验和知识来配置防火墙,而必须使用有效的工具和技术,在系统的方法学的指导下来完成。论文采用几何技术对防火墙的配置进行建模,每个过滤规则被映射为多维空间中的一个几何体,从而使得防火墙的配置可视化和易于理解。该方法可以对防火墙的现有规则库进行彻底的重写,从而实现全面的优化。另外,该文还将通常定义在两个规则之间的规则冲突的概念和分类扩展到多个规则之间。     

一种分布式防火墙过滤策略的异常检测模型

分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并建立了一个过滤策略异常检测的模型。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。     

防火墙过滤规则异常的研究

对防火墙过滤规则之间的联系和可能存在的异常作了深入的研究,给出了一种能自动发现防火墙规则异常的技术和标准,便于规则的管理和维护,也消除了因管理员错误配置规则而造成的安全隐患。     

防火墙过滤规则动态生成方案设计

基于主机的包过滤防火墙只能提供单一层面的、静态的网络安全防护。为此,设计一个可动态生成防火墙过滤规则的方案。利用专家知识检测网络层数据包的攻击行为和运行中应用程序的攻击行为,通过专家系统推理,实现防火墙过滤规则的动态生成。基于 Windows系统的实验结果证明,该防火墙系统能检测出多种攻击行为,并及时生成防火墙的过滤规则。     

入侵检测与防火墙的联动平台研究

通过分析入侵检测系统和防火墙技术的各自优势,认为实现防火墙的数据过滤与入侵检测的实时监控间的有效互补是非常重要的。提出了网络安全事件的基本分类方法,定义出入侵检测系统提供给防火墙的信息格式,采用向入侵检测系统和防火墙中嵌入相关模块的方法,实现了入侵检测系统对攻击行为的自动响应,从而实现了防火墙与入侵检测系统间的协同工作。这样无论是来自内网还是外网的攻击,都可以被联动平台识别并自动响应。     

入侵检测与防火墙的联动平台研究

分析了入侵检测系统与防火墙技术的各自优势,认为实现防火墙的数据过滤与入侵检测的实时监控间的有效互补是非常重要的。通过分析联动系统的理论知识,提出防火墙与入侵检测系统间的安全联动模型,实现两者之间的协同工作。这样无论是来自内网还是外网的攻击,都可以识别并自动响应。     

Ant Colony Optimization based approach for efficient packet filtering in firewall

A firewall is a security guard placed at the point of entry between a private network and the outside network. The function of a firewall is to accept or discard the incoming packets passing through it based on the rules in a ruleset. Approaches employing Neural networks for packet filtering in firewall and packet classification using 2D filters have been proposed in the literature. These approaches suffer from the drawbacks of acceptance of packets from the IP address or ports not specified in the firewall rule set and a restricted search in the face of multiple occurrences of the same IP address or ports respectively. In this paper we propose an Ant Colony Optimization (ACO) based approach for packet filtering in the firewall rule set. Termed Ant Colony Optimization Packet Filtering algorithm (ACO-PF), the scheme unlike its predecessors, considers all multiple occurrences of the same IP address or ports in the firewall rule set during its search process. The other parameters of the rule matching with the compared IP address or ports in the firewall ruleset are retrieved and the firewall decides whether the packet has to be accepted or rejected. Also this scheme has a search space lesser than that of binary search in a worst case scenario. It also strictly filters the packets according to the filter rules in the firewall rule set. It is shown that ACO-PF performs well when compared to other existing packet filtering methods. Experimental results comparing the performance of the ACO-PF scheme with the binary search scheme, sequential search scheme and neural network based approaches are presented.     

防火墙规则间包含关系的解析方法

针对防火墙规则集中规则间的相互关系难以把握,从而导致防火墙无法正确地过滤数据包的问题,提出了一种基于集合理论的规则间包含关系的解析方法.该方法在不考虑规则动作的情况下,基于集合理论的包含关系来解析和分类规则之间的关系,简化了分析规则间相互关系的过程.并且使用高效的函数式编程语言Haskell实现了所提出的方法,整体代码简洁、易于维护和扩展.实验结果表明,对于中小规模的防火墙规则集,能够快速而有效地解析规则间的包含关系,并且能够为后续的规则间的异常检测提供重要的依据.