Linux防火墙技术的研究及应用

Netfilter/Iptables是一个集成在Linux内核中的数据包过滤系统。主要介绍了该系统的两个基本模块及其基本工作原理，最后应用iptables工具建立一个过滤Ipv4和Ipv6数据包的防火墙。     

基于Linux内核的防火墙技术分析与进一步开发

本文对Linux2.4内核中的防火墙相关代码进行了详细的分析,介绍了利用Linux的Netfilter/iptables框架结构来构建防火墙的技术、以及以该框架为基础作防火墙的进一步开发的方法.最后给出了使用以上技术设计实现的一个的防火墙实例.     

Linux平台下计费网关的设计及实现

研究了国内外电信级计费网关的现状,设计了基于Linux内核的电信级计费网关模型,实现了一种在x86硬件上使用Linux内核进行包过滤的计费系统原型。使用Netfilter框架,完成了网络层的数据包重组,以及应用层的报文头分析;实现了在内核中对HTTP协议的数据流进行解析及过滤,并提取出计费所需的重要信息;使用x86电信服务器对系统原型进行了实例测试,通过性能分析,证明了该系统的可用性。     

利用Netfilter/iptables抗御SYN Flood攻击方法研究

SYN Flood攻击是目前最流行的DOS／DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter／iptables的动态包过滤机制抗御SYNFlood攻击的原理,然后提出一种iptables与入侵检测系统（IDS）的集成解决方案,采用文件作为数据传递的载体并通过shell脚本编程实现。试验结果表明,该方法可以有效抵御SYN Flood攻击。     

基于PC架构Linux NAT性能优化

阐述了采用Netfilter/iptables技术来实现NAT的缘由 ,并分析了此项技术在Linux内核 2 .4中的一个重要新特性 ,即“连接跟踪” ;着重讨论了提高基于配有Linux操作系统的普通PC机上的NAT性能的方法 ,包括重编内核 ,防止空对话及修改tcp连接超时设定 ;通过一组系统状态监测曲线图证明这样一个廉价系统作为一些昂贵的路由设备的替代是稳定可靠的     

基于WEB的LINUX防火墙管理系统的设计与实现

基于Linux内核的netfilter/iptables包过滤系统可以构建完善和强大的防火墙系统,但其配置和管理的可操作性差。在分析netfilter/iptables的基础上,给出了基于WEB界面的Linux防火墙配置和管理系统的实现思路,详细阐述了该系统的关键技术和主要功能的实现。     

Linux内核Netfilter包过滤防火墙的设计与实现

讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能.深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴.     

基于linux包过滤防火墙技术发展研究

介绍了Linux2．2和Linux2．4两个不同版本的内核对包过滤技术的支持机制和实现方案。在Linux2．2内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在Linux2．4内核中,IP数据包过滤系统实际上由Netfilter和ipt- ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。     

基于linux包过滤防火墙技术发展研究

介绍了Linux2.2和Linux2.4两个不同版本的内核对包过滤技术的支持机制和实现方案。在Linux2.2内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在Linux2.4内核中,IP数据包过滤系统实际上由Netfilter和ipt-ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。     

Linux内核防火墙的研究与程序设计

首先介绍Linux防火墙Netfilter系统的结构框架特点、工作原理及其在内核中的实现机制。最后通过例子介绍如何编写自己的内核模块并将其镶嵌在Netfilter的架构中,以实现对防火墙功能的扩充。     

Netfilter/Iptables与Linux 安全性研究

从Ipv4网络协议栈对IP数据包过滤开始,对Linux2.4.x内核中Netfilter机制进行了分析,并利用管理工具Iptables实现了防火墙有状态配置和NAT技术,提出了该架构下VPN技术方案的实现.     

Linux中基于Netfilter／Iptables的防火墙研究

随着Internet的普及,网络的安全显得尤为重要。Linux作为一种易于管理,维护的操作系统,在稳定性等方面都独具优势,其在网络安全领域也十分出色。本文阐述了Netfilter的框架结构,以及Netfilter／lptables的工作原理,提出了把Iptables与网络入侵检测（NIDS）有机的结合,来动态抗御SYNFlood攻击的方法。实验表明,该方法可以有效地抵御SYNFlood攻击。     

基于Netfilter改善网络性能的研究与实现

针对网关服务器常有因ip_conntrack表过大使用户无法访问Internet的问题,探讨了Netfilter框架的相关机理,包括Hooks技术、包过滤、conntrack、NAT转化等.最后,分析了安徽工程科技学院校园网网关服务器出现此问题的原因,并给出了具体的解决方案.     

关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议

针对源路径隔离引擎(source path isolation engine,SPIE)不能回溯追踪早期经过路由器的攻击数据包问题,提出了一种IP回溯追踪协议(IP trace-back protocol,ITP),该协议根据压缩哈希表、Sinkhole路由算法和基于网络取证的数据挖掘技术抵抗网络攻击.其中包含简化粒子群优化(simplified particle swarm optimization,SPSO)关联算法的分析管理器(attack analysis manager,AAM)通过分析来自Sinkhole路由器和入侵检测系统(intrusion detection systems,IDS)的攻击包的关联性生成攻击模式和攻击包规则,并将该结果通知系统管理器,Sinkhole路由器和IDS通过数据挖掘技术分析攻击包之间的关联性.通过比较SPIE,概率包标记(probabilistic packet marking,PPM)和iTrace的性能可以看出,ITP不仅能实时追踪后向攻击,而且能定期使用压缩哈希表(compressed hash table,CHT)完成追踪任务.因此,在抵抗DoS攻击方面,ITP性能优于SPIE,PPM和iTrace,此外,在回溯执行时间方面,相同跳跃数下,ITP比iTrace低2-3 s.     

具有IP集中管理功能的专用网络模型设计和实现

为实现对专用网的集中管理,笔者在分析Linux Netfilter机制[1]和Netlink[2]技术基础上,设计和实现一种具有集中管理功能的专用网络模型.借助Linux套接字技术,实现了与远程数据服务器之间的交互,通过Netlink机制实现用户数据和内核之间的数据通信,利用Netfilter机制实现对数据的过滤.实现的模型在专用网络中可以有效地对网络上的数据实现集中式管理.