基于REDHAT Linux9.0防火墙的研究与设计

对基于REDHAT Linux9.0内核防火墙netfilter的原理进行了深入研究,分析了在netfilter架构下防火墙的设计与实现,叙述了Linux的动态地址转换,论述了在Linux下防火墙的设计和开发过程.基于netfilter架构开发了一款包过滤和应用代理的混合型防火墙.针对常见的IP地址欺骗、IP源路由欺骗、ICMP重定向欺骗、IP劫持等网络攻击给予了分析并在过滤管理模块中给出了防御的方法.     

基于IP伪装的网络安全技术研究

简要地介绍了防火墙的原理和作用 ,并讨论防火墙的分类及各类的优缺点。描述了Linux操作系统下 IP伪装的概念和作用原理 ,并由此引出具有 IP伪装功能的防火墙。在此基础上 ,详细论述了 Windows系统的 IP伪装防火墙的构建方法 ,对该防火墙的原理、过滤规则和执行过程进行详细论述     

基于Visual prolog语言的专家系统

目前专家系统的应用领域非常的广泛,解析防火墙配置的问题很自然的由一个专家系统来解决.防火墙通过控制和检测网络之间的信息交换和访问行为来实现对网络安全的有效管理.其中防火墙的包过滤规则是根据网络安全的实际需要来制定的,而管理防火墙规则变得越来越复杂,并且容易出错.本文提出了解析防火墙规则的专家系统方案及其实现,实现了防火墙过滤规则正确性检查以及对于规则的处理等功能.对于提高防火墙的智能性产生了积极的作用.     

基于Filter-Hook技术的防火墙软件设计与实现

为了解决网络安全问题,设计了一个基于Filter-Hook技术的防火墙软件,该软件能够根据数据包过滤规则实现防火墙的功能.实验结果显示,该防火墙软件有效地改善了网络的安伞性能.     

防火墙包过滤规则正确性的研究

随着网络技术的迅速发展,应用网络技术和共享网络资源已经成为日常学习、工作中必不可少的部分.只要网络存在,安全问题就会作为一个极其重要和极具威胁性的问题存在.目前市场上有各种各样的安全工具,技术最成熟、最早产品化的就是防火墙,防火墙是安全策略的技术实现,包括滤系统是防火墙最基本、最重要、最核心部分.防火墙的包过滤规则是根据实际需要的安全策略来制定的,对规则集应该考虑整体是否有效、规范,而不应该是规则集中的每条规则是否有效、规范.研究了包过滤规则在应用之前能够进行规则的冲突检测,避免规则之间出现矛盾、冗余,便于规则的管理和维护,也便于制定较为完备的安全策略.     

SPI截获Windows个人防火墙系统实现技术要点分析

个人防火墙核心技术是数据包的截获,通过SPI服务提供者接口进行网络数据包（Service Provider Interface）截获能够最完备地得到进程访网信息.一个功能完备的个人防火墙系统不仅能够封包截获,还应能解析协议、支持自定义控管规则以及日志记录随时的网络通信状况.本项目遵循SPI规范完整实现了上述功能,给出了一个Windows下的个人防火墙系统实现过程中的技术要点分析.     

基于数据挖掘的智能入侵检测系统模型及实现

入侵检测作为主动的安全防御技术,是计算机网络中继防火墙之后的第二道安全防线,是近年来网络安全领域的研究热点.研究了基于数据挖掘的网络入侵检测系统的建模及实现,建立融合简单规则、协议分析、数据挖掘分析为一体的模型,其中着重讨论了基于数据挖掘技术的网络入侵检测系统的实现方法.     

分布式防火墙关键技术研究

传统防火墙技术依赖于网络拓扑结构,分布式防火墙将分布式对象技术引入到防火墙技术当中,改变了其体系结构,实现了内外网兼防.分布式防火墙的关键技术在于网络安全管理平台、分布式通讯和网络安全信息的描述.基于XML的网络安全信息描述和分层的网络安全管理平台模型,使分布式防火墙安全组件间相互协作,形成了一个有机防御体系.     

网络时代计算机网络安全管理技术与应用

分析了威胁网络安全的主要因素和TCP／IP协议的安全漏洞，介绍了网络安全防御技术及其应用，包括防火墙技术的应用，加密技术的应用，生物识别技术的应用等。     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

基于代理的分布式防火墙与入侵检测协同防御系统设计与应用

分析了传统防火墙和现有分布式防火墙在网络应用中的局限性.将防火墙与入侵检测相结合,提升了系统的防御能力.引入Agent技术,利用Agent的特性对防御系统重新规范、设计,改变以往各防御单元的通信方式,并且在防御系统中增加了中心服务器和域服务器的备份,更好地提高了网络的稳定性、安全性.     

大规模网络的主动协同防御模型研究

针对大规模网络所面临的安全问题,提出了一种全方位、立体化纵深的分布式主动协同防御模型,并从模型架构、功能实现机制到模型的算法描述等方面,给出了主动协同防御DDOS攻击和网络蠕虫(或恶意代码)的完整实现方法.该模型通过大规模网络自治域域内和域间之间安全部件的协作,从网络边界层、核心层、子网层到主机层对网络安全问题进行多层次主动协同防御.通过设计一整套主动协同防御的功能实现机制,集成了入侵检测、防火墙和蜜网等安全技术,使该模型不但能够有效地解决大规模网络所面临的安全防御问题,而且还具有良好的通用性和扩展性.     

基于ModSecurity防火墙的入侵检测模型研究与改进

ModSecurity包含了3种入侵检测模型,分别是消极安全模型、积极安全模型和已知漏洞攻击模型.针对消极安全模型,提出加入1种新的Web应用防火墙的自学习TL模型方法,采用先收集、整理和归纳网页参数特征,再与用户提交数据进行规则匹配的方法,实现对Web应用的安全防护,减少了Web管理员的繁琐的规则过滤设置,增强了ModSecurity防御的能力,提高了Web服务的安全性.     

NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置.文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现.测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生.     

基于多核处理器的入侵防御系统

随着高速以太网的广泛应用和网络入侵行为的日益复杂化,对网络入侵防御系统性能的要求越来越高.通过对传统入侵防御系统工作原理的分析,设计并实现了基于多核处理器的入侵防御系统.通过对系统中的多核处理单元进行分组,并构建共享缓冲队列实现工作组间的数据传递,使得系统在多核处理器环境下能够并行工作.试验结果表明,改进后系统的效率有显著提高,丢包率也明显降低.     

基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

嵌入式Linux系统编译环境架构及其IPsec的实现

详细介绍了嵌入式Linux编译环境的架构，讨论了如何在Linux2．4环境下实现IP安全协议，实现数据安全传输，通过利用Linux实现防火墙所提供的5个钩子函数挂载点，将安全模块嵌入到Linux系统中，从而完成Linux2.4对于IP安全协议的支持，测试结果表明：这种方式完全能够实现Linux对IP安全协议的支持．很好地实现数据安全传输．     

一种基于SFDD的状态防火墙规则集比对方法

状态防火墙是一种新型防火墙,而传统防火墙决策图(FDD)构造算法并不适用于状态防火墙的规则集比对.本文在FDD基础上,提出一种状态防火墙决策图(SFDD)构造算法,将规则集转化成图形化的等价的SFDD,用于状态防火墙规则集比对.理论分析和仿真实验结果表明,利用SFDD构造算法进行比对,能有效检测出规则集之间的全部不同点;当状态防火墙的状态部分规则和无状态部分规则条目数量均达到3 000时,比对过程所耗费的平均时间不超过2s.