浅谈防火墙的控制列表与透明模式

防火墙是网络安全的关键技术,其核心是在不安全的网络环境中构造一个相对安全的网络环境。本文就防火墙的功能及在不同网络层上的主要技术手段、优点和缺点应用方面做一比较。     

利用防火墙和入侵检测构建校园网安全模型

Internet的普及应用,高度发达的网络中,网络安全成为一个非常重要的问题,校园网作为网络的一个重要组成部分也不可避免地面临着威胁.防范网络攻击目前最常用的方法就是防火墙和入侵检测,由于缺少统一的通信标准,现有安全产品往往各自为政,没能形成一个统一的整体.为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题.本文根据防火墙和入侵检测的原理,提出在校园网中部署防火墙和入侵检测技术相结合的方案以解决校园网的网络安全问题,最后设计了一种针对这种联动技术的安全模型,并对具体通信关键技术进行了研究.     

计算机网络防火墙技术研究

本文细致分析了各种网络安全问题,以及一种相应的防御对策-网络防火墙,它技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。然后分析比较了各种防火墙技术的特点,为网络安全提供了指导。     

基于加速引擎的防火墙部署方案

文章提出一种提升防火墙数据吞吐量的新方法,引入一台加速引擎的设备,通过实时学习模仿防火墙的安全策略,协同防火墙共同处理网络数据包,降低需要防火墙处理的数据包数量,克服了传统防火墙易于产生性能瓶颈的问题;同时基于Linux/netfilter实现了一个原型系统,并验证了该方案的有效性和可行性。     

“黑洞式”智能型防火墙的关键技术

网络安全是网络技术发展过程中的一个热点问题，而防火墙技术更是成为企业内部网络抵御外界攻击的关键技术之一．通过对现有的防火墙技术进行分析和比较，可以看到目前防火墙技术的发展具有集成化和智能化的趋势，其关键技术包括网络地址映射、状态监察技术和信息智能识别技术等．在开发“黑洞式”智能型防火墙产品过程中的一些有益思考，对该防火墙产品的关键技术特性进行了归纳．     

电子邮件的安全问题

电子邮件是计算机网络中使用最广泛的应用之一，无论在“政府上网”工程中，还是在政府组建的专网中，电子邮件都是一个重要应用。随着其广泛应用，安全问题也越来越受到人们的重视。目前人们谈得最多的是防火墙技术，但防火墙是否具备“一夫当关，万夫莫开”的能力呢？通过防火墙技术能否保证电子邮件的安全呢？电子邮件的安全问题涉及哪些内容呢？本文将就此进行探讨。 一、防火墙技术 防火墙是网络之间一种特殊的访问控制设施，它保护内部网络的敏感数据，阻止非授权用户访问敏感数据，允许合法用户无妨碍地访问可能的网络资源。防火墙一…     

基于ARM的嵌入式硬件防火墙

网络技术的飞速发展给我们带来了许多便利,但同时,网络安全问题也威胁着每一个网络用户。防火墙是保障网络安全的重要手段。目前,最常用的是软件防火墙,这种防火墙会占用有限的系统资源,影响通信的效率。本文将基于嵌入式系统来设计一种硬件防火墙,使它兼备网卡和防火墙双重功能。     

防火墙的合理应用

防火墙是近年发展起来的一种保护网络计算机安全的技术措施,也是目前应用最广的一种网络安全防护技术。防火墙是一个或者一组实施访问控制策略的系统,它可以是软、硬件或者软硬件的结合,其目的是向网络提供安全保护。防火墙通常放在内部网和外部网之间,可监视、控制、更改在内部和外部网之间流动的网络通信;控制外部电脑可以访问内部受保护的环境,并确定访问的权限、时间,服务类型与质量等,检查内部流动的信息,避免保密信息外流,达到抵挡外部入侵及防止内部信息泄密的目的。防火墙的配置与网络的安全 防火墙是网络安全中非常重要的一环,大多数的单位多半认为仅需要安装一套防火墙设备,就应该可以解决他们的安全问题,因此不惜重金购买防火墙,但却忽视了防火墙的配置。     

入侵检测和防火墙结合的研究

针对防火墙无法防护内部网络用户的攻击以及不能预防新的网络安全问题的缺陷,本文提出将入侵检测与防火墙相结合来提供一个更加安全的防护措施,从而达到既可以检测到内部用户的并常行为,也可以检测出突破防火墙和系统限制后的非法入侵,并对其及时地进行处理．入侵检测系统是近年来出现的一种网络安全技术,在网络安全领域中发挥着越来越大的作用．     

高吞吐量协作防火墙的双向去冗余方法

针对协作防火墙中冗余规则会降低其吞吐量的问题,提出一种基于双向去冗余的高吞吐量协作防火墙优化方法.该方法通过比对协作防火墙中双方的防火墙规则,双向去除域内防火墙之间的冗余规则,提高整个协作防火墙的数据包过滤能力.仿真实验结果表明,该方法的冗余率达到了22.7％,提高了8.2％吞吐量,明显优于已有协作防火墙优化方法.     

基于JXTA的P2P分布式存储系统的研究

分布式存储是P2P的一个重要研究方向。借助JXTA技术平台与内容管理服务（CMS）在网络信息存储和交换等方面优势,对P2P系统中的资源发现、防火墙穿越、通信安全和内容管理等问题进行了研究,在此基础上设计了一种基于JXTA的P2P分布式存储系统模型,并完成了该系统模型的编码工作,实现了基于JXTA平台的分布式存储功能。     

一种基于XML的分布式防火墙规则冲突的发现算法

分析了分布式防火墙（DFW）规则的冲突现象产生的原因,对规则冲突的类型进行了规范的定义,运用策略树模型设计了基于XML的发现算法。对算法进行了模拟实现并探讨了算法的性能。     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

一种基于SFDD的状态防火墙规则集比对方法

状态防火墙是一种新型防火墙,而传统防火墙决策图(FDD)构造算法并不适用于状态防火墙的规则集比对.本文在FDD基础上,提出一种状态防火墙决策图(SFDD)构造算法,将规则集转化成图形化的等价的SFDD,用于状态防火墙规则集比对.理论分析和仿真实验结果表明,利用SFDD构造算法进行比对,能有效检测出规则集之间的全部不同点;当状态防火墙的状态部分规则和无状态部分规则条目数量均达到3 000时,比对过程所耗费的平均时间不超过2s.     

NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置.文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现.测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生.     

FPC: A New Approach to Firewall Policies Compression

Firewalls are crucial elements that enhance network security by examining the field values of every packet and deciding whether to accept or discard a packet according to the firewall policies. With the development of networks, the number of rules in firewalls has rapidly increased, consequently degrading network performance.In addition, because most real-life firewalls have been plagued with policy conflicts, malicious traffics can be allowed or legitimate traffics can be blocked. Moreover, because of the complexity of the firewall policies, it is very important to reduce the number of rules in a firewall while keeping the rule semantics unchanged and the target firewall rules conflict-free. In this study, we make three major contributions. First, we present a new approach in which a geometric model, multidimensional rectilinear polygon, is constructed for the firewall rules compression problem.Second, we propose a new scheme, Firewall Policies Compression(FPC), to compress the multidimensional firewall rules based on this geometric model. Third, we conducted extensive experiments to evaluate the performance of the proposed method. The experimental results demonstrate that the FPC method outperforms the existing approaches, in terms of compression ratio and efficiency while maintaining conflict-free firewall rules.     

思科高端防火墙模块在校园网的应用

根据校园网速度快和规模大的特点,在保护网络安全上需要使用高性能的千兆防火墙,以满足日益增长的网络带宽需要.对于防火墙安全策略的合理配置和方便管理,能更有效地保护网络安全.随着防火墙技术的发展,对于思科高端防火墙模块是直接安装在交换机上的模块,使用了虚拟防火墙技术,没有物理网络端口,而是使用VLAN连接交换机,在配置和管理上有别于常规防火墙,在规划和实施时更应考虑总体的安全性和管理的有效性.通过灵活地使用防火墙,进一步保护校园网的安全.     

一种基于Mobile Agent的分布式主动防火墙体系结构

针对分布式防火墙不能有效防止拒绝服务攻击问题。在分布式防火墙基础上提出了一种基于Mobile Agent的分布式主动防火墙体系结构，不被动的防止攻击，利用Mobile Agent将攻击拒绝在攻击者处，并对该体系结构进行测试，可以有效地避免了拒绝服务攻击。     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

基于防火墙与入侵检测技术的网络安全策略

提出一种将入侵检测与防火墙结合起来运行在网络中的新方法，将入侵检测作为防火墙的一个有益的补充，使防火墙通过入侵检测及时发现其策略之外的攻击行为，入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断。