基于Netfilter的网络防火墙的实现

防火墙在网络安全保障方面发挥着十分重要的作用.论文在分析包过滤防火墙技术的基础上,讨论了Linux环境下的Netfilter框架技术,并设计实现了一个基于Iptables工具的包过滤防火墙,为网络提供一定的安全保障.     

基于Netfilter的网络用户认证系统

随着宽带的发展,对网络用户的身份认证和合理控制十分重要.为保证各用户合理地使用校园网,在Linux操作系统上设计了一个基于Netfilter框架的校园网出口认证系统. 该系统在Netfilter框架的支持下,能对上网用户进行IP连接数和带宽控制.另外,系统提供Web界面认证,且用户可以选择不同的网络出口和使用的时长.     

基于802.1x协议的校园网安全认证设计与实现

本文针对校园网络访问安全认证问题,结合目前园区网络结构和用户特点,在分析802.1x协议和认证体系结构的基础上,介绍了基于802.1x协议的认证流程.利用校园网的拓扑结构,在接入层交实现了基于802.1x协议的安全认证访问控制,提高了校园网络信息访问的安全性和可控性.     

具有IP集中管理功能的专用网络模型设计和实现

为实现对专用网的集中管理,笔者在分析Linux Netfilter机制[1]和Netlink[2]技术基础上,设计和实现一种具有集中管理功能的专用网络模型.借助Linux套接字技术,实现了与远程数据服务器之间的交互,通过Netlink机制实现用户数据和内核之间的数据通信,利用Netfilter机制实现对数据的过滤.实现的模型在专用网络中可以有效地对网络上的数据实现集中式管理.     

Iptables防火墙总体架构实现研究

防火墙作为网络安全技术的重要手段,已成为使用最多的网络安全解决方案。本文在对现有防火墙技术分析的基础上,构建了一种基于Iptables的Linux防火墙。Iptables管理工具是一种基于包过滤的防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本文是在Netfilter框架下的构建的Iptables策略,用户可以自己编制规则来构建防火墙的过滤策略,使得防火墙具有很好的稳定性与可扩展性。     

Linux内核防火墙技术分析

linux防火墙的实现采用分层次的方式,处于底层的是Netfilter。Netfilter提供了一各个抽象、通用化的包处理框架。通过在Netfilter上定义的捕捉点上注册的包处理函数,可以实现包过滤、网络地址转换等子系统。本文主要介绍了Netfilter的实现机制以及它的扩展。     

校园网PKI身份认证系统设计

随着校园网规模的不断发展,校园网络安全问题显得越来越重要,PKI技术在网络安全方面承受用户的认可.基于PKI技术的身份认证系统,符合校园网络对网络安全的需要,既解决了校园网络用户身份认证的问题民,又保证了校园网络的安全性和稳定性.     

数字化校园管理中的访问控制模型分析

数字化校园建设中的分布式信息平台安全是整个校园信息化建设的关键部分。根据数字化建设实际情况,讨论并提出了一种基于XACML的访问控制模型,通过访问控制策略,实现用户的统一身份认证,为数字化校园信息访问身份认证提供了一种灵活而简便的解决方案。     

利用访问控制列表构建安全网络

访问控制列表使用包过滤技术,是在网络设备上读取数据包包头中的信息,对经过网络设备的数据流进行控制的技术。访问控制列表在网络安全中发挥着重要的作用。本文将以华为设备为例介绍访问控制列表的基本概念、原理、类型,针对网络的安全给出具体建立应用访问控制列表的实例。     

基于linux包过滤防火墙技术发展研究

介绍了Linux2．2和Linux2．4两个不同版本的内核对包过滤技术的支持机制和实现方案。在Linux2．2内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在Linux2．4内核中,IP数据包过滤系统实际上由Netfilter和ipt- ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。     

基于自我加密的无线局域网快速切换认证

为了改善公共无线局域网切换延时对通信业务质量的影响并保证通信安全,提出一种无线局域网快速切换认证机制.该机制在Hwang-Yang动态密钥分发机制的基础上利用自我加密方法设计了无线局域网快速切换认证机制.分析表明,该机制在保证安全性的同时,在用户初次建立连接和切换的时候,分别需往返一次认证消息即可完成身份的相互认证以及密钥的分发.在进行切换的时候,用户无需和认证服务器进行交互,减少公共无线局域网切换延时.     

分布式代理服务器的实现

研究了在Internet上使用分布式代理服务器进行网络管理的方案 在此方案中 ,对用户身份采用分布式验证 在每一部门设立一个代理服务器 ,所有本部门的用户信息存放在该部门的代理服务器的用户数据库中 这样一方面克服了以往网络中心对用户认证采用集中式管理引起的网络中心负荷过重的缺点 ;另一方面增强了系统的安全性并有利于系统的扩充 另外 ,网络管理部门对Internet用户使用网络资源的权限能够进行动态限制 ,不仅可以控制用户的上网时间 ,还可以灵活的控制用户访问的字节数 此外 ,对用户使用网络资源的情况可以按访问时间或流量分别进行计费     

基于Web技术的网络课程平台的设计与实现

基于Web技术的网络课程平台是开展网络化教学的基础环境,它为教师、学生和教学管理人员提供一个学习和工作的网络环境.曲靖师院网络课程平台是基于Web的网络课程平台,用户分为管理人员、教师、学生和匿名用户,引入统一的身份认证与授权管理,用户从单一入口登陆,系统根据用户身份确定用户界面和访问权限,为用户提供个性化服务.     

基于Netfilter改善网络性能的研究与实现

针对网关服务器常有因ip_conntrack表过大使用户无法访问Internet的问题,探讨了Netfilter框架的相关机理,包括Hooks技术、包过滤、conntrack、NAT转化等.最后,分析了安徽工程科技学院校园网网关服务器出现此问题的原因,并给出了具体的解决方案.     

Active Directory和Kerberos的校园网络统一认证的实现

随着校园网络建设规模的不断发展,各种基于校园网络的应用也越来越多,也就提出了用户对校园网络统一身份认证的要求.文章在分析Active Directory和Kerberos协议的基础上,提出了一个适用校园网络支持单点登陆的安全认证架构,进行用户的统一授权管理.     

无线Mesh网络中多服务器的门限认证系统构建

 在无线Mesh网络中,传统的集中式AAA认证模式很容易由于遭受DOS攻击或者被恶意者的破坏而导致服务瘫痪,为了解决该问题,基于Asmuth-Bloom门限机制,提出了多服务器的无线Mesh网络门限认证系统模型,设计了具体的无线接入和认证流程。在该系统中,只有认证服务器组中的成员才可以执行有效的认证过程,同时,只有当认证服务器组中的n个服务器中有不少于t个服务器才能恢复共享密钥K,这样可以避免假冒攻击和防止单个服务器被攻陷。分析结果表明,通过所计设的门限认证系统,保证了接入认证过程的有效性,提高了系统的安全性能,为无线Mesh网络的接入认证提供了一条有效解决思路,具有较高的实际应用和参考价值。     

802.1x认证技术分析

IEEE 802.1x协议是目前业界最新的认证协议,802.1x认证基于逻辑端口把认证流和业务流进行分离。认证系统的端口分成两个逻辑端口:可控端口和非可控端口。可控端口传送业务报文,非可控端口只能传送认证协议报文。它通过认证前后打开/关闭可控端口来实现对用户接入的控制,从而实现对用户的物理端口的认证和控制。     

基于动态ID跳变的CAN总线安全调度算法

CAN(controller area network)总线是应用最广泛的现场总线,由于缺乏认证及消息检验机制,使得现在的CAN总线具有极大的安全隐患,需要为CAN总线设计防御机制.针对此情况,本文设计了一种优先级跳变机制,将通过散列函数进行一次性标识符动态跳变的方式引入到实时调度算法中.使用遗传算法计算固定优先级,求出优先级可妥协范围,将各帧进行分组,将数据帧的ID段进行分段重构,ID段前部分决定优先级并进行优先级跳变,ID段的后部分进行一次性动态跳变.实验结果表明,使用动态优先级和一次性ID跳变的方式进行跳变,相较于已有的ID跳变机制其安全性有了较大的提升.     

Design and implementation of A bi-directional proxy server

In this paper, a mechanism of bi directional proxy is proposed, which supports authentication based on identity, and endue different users with different network access permissions. This technology is purposed with a new idea towards the implementation of network security, which has a promising future in applications.