基于Agent的分布式防火墙

在分析了防火墙对于网络安全的重要性和传统防火墙的缺陷后,提出了一种基于Agent机制的分布式防火墙的模型。采用分布式防火墙是为了解决传统防火墙所存在的一些问题;采用基于Agent的设计模式是考虑到Agent对于分布式环境的良好支持。最后提出了今后有待研究的问题。     

基于防火墙的网络安全实现

阐述了当前网络安全所面临的严峻问题，并就此提出了采用防火墙来实现网络安全的方法，叙述了防火墙的原理及体系结构，并介绍了几种防火墙的方案。     

基于入侵检测的分布式防火墙的应用研究

针对分布式防火墙和入侵检测技术各自存在的不足,文中提出基于入侵检测的分布式防火墙的解决方案,通过在主机防火墙内部增加入侵检测模块,形成一种动态分布式防火墙.主机防火墙过滤模块通过修改数据包结构以减少入侵检测量,入侵检测结果快速返回管理中心,及时动态更新策略.实验结果表明:该方案解决了分布式防火墙策略更新慢、内部通信被非法用户截获、无法及时发现入侵攻击等问题,同时也解决了入侵检测模块的数据检测量大和无法阻断攻击等问题.     

高校网络防火墙部署应用

为抵御互联网上的攻击,保障数字校园网络安全,部署天融信硬件防火墙。在部署过程中合理设计防火墙拓扑结构,将防火墙透明部署在负载均衡和核心交换机之间,通过防火墙防护网络边界这种安全保护机制,保证了校园网络的安全防护能力。该机制具备安全防护能力,是一种有效的网络安全机制。     

ERP系统IAM的网络安全设计

ERP系统的安全应用一直是企业面临的信息安全问题,为了保障ERP应用与信息访问的安全性,我们为ERP系统搭建了一套IAM（Identity and Access Management）网络安全方案.该方案为ERP应用提供了可靠、高效的指纹认证以及安全可靠的包过滤防火墙模块、实时的数据库进程监控模块;从而确保ERP系统信息的安全可靠.本文叙述了IAM系统;分析了IAM系统内部与ERP系统的交互过程;然后详述了基于Windows API包过滤技术的防火墙模块的设计以及相关的其它网络安全设计,使系统可根据IAM身份验证信息进行动态过滤的目的,弥补了一般防火墙规则难以与应用软件灵活互动的不足,为企业应用的信息安全访问提供了可靠的保障.     

基于防火墙的网络安全技术的几点探讨

通过对防火墙的网络安全技术与防火墙的基本类型进行分析,研究了网络防火墙选择和架构的基本原则,对网络防火墙的设计与架构提出了相应的建议,为企业网络安全的管理提供建议。     

Linux下防火墙透明模式的原理及实现

随着Internet网络的广泛应用，网络安全越来越受到人们的重视。防火墙是提高网络安全最基本也是最有效的手段。工作于透明模式下的防火墙可以极大地简化防火墙的配置并提高防火墙自身的安全性。文章分析了防火墙透明接入时带来的ARP失效问题，并分别提出了用ARP代理技术和桥技术解决该问题的两种方法，同时给出了简单的实现。     

SNMPv3在防火墙联动中的应用

目前各种网络安全产品的技术特点和功能不同，如何让它们组成一个细密、坚实的网络安全保护系统是目前网络安全领域探讨的热门话题。本文介绍了一种基于SNMPv3协议的防火墙与控制台之间的联动控制方案，探讨了这种方案的原理、实现和特点。     

大型电信运营商企业网安全改造技术的研究与实现

本文针对该分公司企业网存在的网络安全问题，进行了深入研究分析，以防火墙为核心，提出整网的、多层次、全面的安全解决方案。该方案不仅适用于该企业本身，对多数企业网都具有通用性，可以方便地推广、移植到多数企业网的规划建设中去。     

分布式自适应安全策略在Mobile IP中的应用

简要介绍Mobile IP网络安全基本原理,分析集中式静态配置安全策略给MobileIP网络性能和灵活性造成的缺陷,提出动态自适应安全策略调整模型,并在该模型的基础上提出分布式动态自适应防火墙安全策略。最后讲述该安全策略在Mobile IP网络环境中的实现,论证该策略模型能很好满足当前网络环境对网络安全性能和灵活性的需求。     

Conflict classification and analysis of distributed firewall policies

Firewalls are core elements in network security. However, managing firewall rules, particularly, in multifirewall enterprise networks, has become a complex and error-prone task. Firewall filtering rules have to be written, ordered, and distributed carefully in order to avoid firewall policy anomalies that might cause network vulnerability. Therefore, inserting or modifying filtering rules in any firewall requires thorough intrafirewall and interfirewall analysis to determine the proper rule placement and ordering in the firewalls. In this paper, we identify all anomalies that could exist in a single- or multifirewall environment. We also present a set of techniques and algorithms to automatically discover policy anomalies in centralized and distributed firewalls. These techniques are implemented in a software tool called the "Firewall Policy Advisor" that simplifies the management of filtering rules and maintains the security of next-generation firewalls.     

基于国产密码算法的数控网络的认证与验证模型研究及安全评估

该文针对工业控制系统安全,提出面向数控系统(NCS)网络安全保护技术框架,选用国产密码系列算法中的SM2, SM3, SM4算法,设计并建立了数控网络(CNC)认证与验证模型(AUTH-VRF),分内外两层为数控网络提供安全防护。外层为数控网络设备间通信与传输进行安全认证实现网段隔离,内层验证通信协议完整性以确保现场设备接收运行程序的正确性与有效性;通过基于SM2, SM3, SM4算法设计和部署的外层防护装置,为分布式数控(DNC)设备与数控系统之间的通信提供身份认证与文件加密传输;同时针对工业控制网络的S7Comm工业通信协议数据,通过SM3算法验证专有工业协议数据完整性。通过网络攻击实验证明,AUTH-VRF模型可以为数控网络中工业生产数据提供有效的安全认证和资源完整性保护,为满足我国关键基础设施“国内、国外工业控制系统产品共同安全可控”和“安全技术深入工业控制系统各个层级”的需求提供了实际可行的技术参考方案。     

基于VoIP的WiFi无线网络安全策略研究

无线技术WiFi与VoIP的结合已成为当今通信领域的热点话题,但是安全隐患的问题却一直存在。安全隐患将是制约WiFi应用发展的瓶颈,而基于802.11b无线网络的首个安全协议——有线对等式加密(WEP)存在很多漏洞,因此WiFi联盟提出了一系列加强无线网络安全的新举措。文章详述了WEP协议的缺陷,着重分析比较了TKIP、CCMS以及802.1x等新型无线网络安全方案与WEP的差异,并对无线VoIP安全方案提出了新设想。     

Network firewalls

Computer security is a hard problem. Security on networked computers is much harder. Firewalls (barriers between two networks), when used properly, can provide a significant increase in computer security. The authors classify firewalls into three main categories: packet filtering, circuit gateways, and application gateways. Commonly, more than one of these is used at the same time. Their examples and discussion relate to UNIX systems and programs. The majority of multiuser machines on the Internet run some version of the UNIX operating system. Most application-level gateways are implemented in UNIX. This is not to say that other operating systems are more secure; however, there are fewer of them on the Internet, and they are less popular as targets for that reason. But the principles and philosophy apply to network gateways built on other operating systems as well. Their focus is on the TCP/IP protocol suite, especially as used on the Internet     

DDOS防范对策研究

分布式拒绝服务攻击（DDOS）严重成胁着Internet的安全。本文分析了DDOS攻击的原理及最新发展，根据DDOS攻击特点。提出了在域内进行DDOS攻击防御的四层防御体系。     

A systematic review on distributed denial of service attack defense mechanisms in programmable networks

Design flaws and vulnerabilities inherent to network protocols, devices, and services make Distributed Denial of Service (DDoS) a persisting threat in the cyberspace, despite decades of research efforts in the area. The historical vertical integration of traditional IP networks limited the solution space, forcing researchers to tweak network protocols while maintaining global compatibility and proper service to legitimate flows. The advent of Software-Defined Networking (SDN) and advances in Programmable Data Planes (PDP) changed the state of affairs and brought novel possibilities to deal with such attacks. In summary, the ability of bringing together network intelligence to a control plane, and offloading flow processing tasks to the forwarding plane, opened up interesting opportunities for network security researchers unlike ever. In this article, we dive into recent research that relies on SDN and PDP to detect, mitigate, and prevent DDoS attacks. Our literature review takes into account the SDN layered view as defined in RFC7426 and focuses on the data, control, and application planes. We follow a systematic methodology to capture related articles and organize them into a taxonomy of DDoS defense mechanisms focusing on three facets: activity level, deployment location, and cooperation degree. From the analysis of existing work, we also highlight key research gaps that may foster future research in the field.     

Sidewinder: Defense in depth using type enforcement

Sites use firewalls to defend against external attacks while providing necessary Internet services. Firewalls make a site safer: They present a smaller risk since they provide fewer services. However, most firewalls use standard computer operating systems. This can allow an attacker to overrun the firewall if a known security flaw is present. The Sidewinder(TM) firewall system overcomes this problem using type enforcement. Network server applications operate in independently controlled compartments called domains, each granted specific permission to access particular types of files or communicate with other domains. If a server succumbs to an attack, type enforcement restricts the amount of damage an attacker can do. In particular, Sidewinder prevents an attack on an Internet server from accessing domains serving internal, protected networks. An attacker cannot overrun a Sidewinder because the type enforcement restrictions cannot be disabled while the system is handling network traffic.     

手机支付安全研究

针对手机支付安全问题,通过介绍手机的现场支付和远场支付业务,分析了手机终端、无线网络、支付平台所面临的安全威胁,提出了解决手机支付安全问题的安全框架。该安全框架通过综合应用密码技术、访问控制、安全协议、安全审计等4种安全技术手段和手机终端安全管理策略、通信传输安全管理策略、支付平台安全管理策略等3种安全管理策略为保障手机支付的安全提供了一种解决方案。     

构建时间、空间、网络层次端到端安全网络

针对目前IP网对安全的新要求,华为提出了“i^3安全”解决方案．即时间、空间、网络层次三个纬度端到端集成安全体系架构。此方案所具有的特色包括：在时间上,同时关注网络的事前防范和事后跟踪能力;在空间上,针时外网与内网的不同特点制定有效的安全策略;在网络层次上,分别根据网络层、用户接入层和业务层的特点进行有针对性的防范。     

基于SNMP和神经网络的DDoS攻击检测

DDoS（Distributed Denial of Service）已经严重威胁计算机网络安全。对DDoS攻击检测的关键是找到能反映攻击流和正常流区别的特征,设计简单高效的算法,实时检测。通过对攻击特点的分析,总结出15个基于SNMP（Simple Network Management Protocol）的检测特征。利用BP神经网络高效的计算性能,设计了基于SNMP和神经网络的DDoS攻击检测模型,提高了检测实时性和准确性。实验表明：该检测模型对多种DDoS攻击都具有很好的检测效果。