基于包过滤技术的Internet安全性研究

通过分析Internet中常见的网络安全问题 ,对包过滤技术作了简单阐述 ,并介绍了一个基于包过滤技术的网络安全模型 .

防火墙包过滤技术发展研究

防火墙技术主要分为包过滤和应用代理两类。从数据包结构出发,分析包过滤技术,首先提出包过滤技术的核心问题;然后在分析传统包过滤技术缺陷的基础上,详细论述了包过滤技术的两种发展趋势;最后以技术实例说明了这两种趋势的融合。

防火墙包过滤规则问题的研究

包过滤是防火墙的一项基本技术 ,通过对包过滤规则的合理制订可以有效地保护内部网络。文中结合一些典型的网络攻击 ,讨论了有关合理制订包过滤规则的问题。

基于状态包过滤的防火墙技术

本文首先介绍了防火墙的基本技术-—包过滤的工作原理。通过一个防火墙构建实例,显示了传统包过滤的局限性,进而引人状态包过滤的概念,最后对其工作原理和实现的关键部分进行分析。

Linux包过滤防火墙中数据采集模块的设计及实现

提出一种基于Linux具有包过滤功能的双宿主机技术防火墙方案。利用当前防火墙构建的流行工具Snort,实现了数据包截获模块的设计,并应用线程技术提高了数据包截获的效率。

状态检测包过滤技术在Linux下的实现

系统地介绍了Linux2.4内核对状态检测包过滤技术的支持机制,并且给出了2.4内核中的一种实现方法,即Netfilter+IPconntrack+IPtables体系。同时,就Linux2.4环境中的状态检测包过滤技术无法对某些多连接服务进行状态检测的局限性,提出了一种通过增加协处理模块解决此类问题的方法。

基于Winsock SPI技术的包过滤研究

本文介绍的SPFire Wall防火墙实现了控管规则的制定、控管规则的修改与删除、底层分析与拦截程序、界面监视控制程序。通过进程间共享变量以及WINDOWS消息响应机制完成底层与界面的数据交流。运用Winsock SPI技术,编写服务处理函数替换WINDOWS的默认网络服务处理函数。本技术实现方便,在很大程度上也提高了效率。

基于包过滤技术的网络安全的研究

分析了包过滤技术的各种实现方案,并在对比各个方案和剖析操作系统内核的基础上,研究并实现了基于中间层驱动的包过滤技术。通过编写内核级网络驱动实现了包过滤技术的具体应用。

改进的KMP算法在深度包过滤技术中的应用

分析了KMP经典算法理论,提出了一种基于相邻位对比的改进KMP算法,并给出了具体实现。将改进后的KMP算法应用于深度包过滤技术中,实验结果表明,该算法具有较高的可行性。

基于状态检测的TCP包过滤在Linux下的实现方法

该文主要介绍了在Linux2.4内核下基于状态转换和检测的TCP包过滤的实现方法。通过对传统全状态包过滤防火墙的改进,增加了状态转换和连接序号检查,增强了防火墙的安全性。通过日志记录异常状况,系统管理员可以采用相应的措施防止潜在的攻击。

基于身份认证和加密技术的包过滤防火墙系统的设计与实现

文章分析了目前流行的网络互连协议──ＴＣＰ／ＩＰ协议中存在的安全问题和Ｉｎｔｅｒｎｅｔ网的不安全性。在系统地介绍了防火墙系统的基本设计原则的基础上，针对当前防火墙技术中存在的问题，提出了一种新的防火墙方案──基于身份认证和加密技术的包过滤防火墙系统，并对该系统进行了软件的设计与实现。同时探讨了防火墙技术的发展方向。

包过滤防火墙的安全研究

一、引言包过滤和代理系统是目前互联网络防火墙中较为普遍使用的二种技术。其中包过滤防火墙由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,十分灵活方便,所以应用最为广泛。但如果产品选择和使用不当,出现的问题也是最多的。包过滤技术的主要依据是包含在IP包头中的各种信息,一般不涉及包体中的数据(当然根据包体中的关键词也可以过滤,本文不作讨论)。所以。

包过滤防火墙相关规则的排序及向无关规则的转化

提出了防火墙规则排序的算法 .防火墙进行包过滤时 ,规则集中的规则是顺序匹配的 ,这样防火墙过滤效率不高 .为了应用快速的非顺序的规则匹配算法 ,则必须将相关的防火墙规则转化为无关的规则 ,本文为此提出了防火墙相关规则向无关规则的转化算法 .

Windows单机版防火墙包过滤多种方案比较与实现

本文介绍了Windows下单机防火墙的核心技术包拦截过滤的多种方案,分别阐述了每种方案的实现方法,比较几种方案的优缺点,得出各自的适用范围以及局限性,最后实现了基于NDIS中间驱动程序和Winsock2SPI技术的包过滤。

基于NDIS的状态包过滤个人防火墙

现在,Internet的安全问题越来越引起人们的广泛关注,利用防火墙技术来增强网络的安全性越来越得到人们的青睐。包过滤技术是防火墙的核心技术。基于NDIS(Network Driver Interface Specification)的状态包过滤技术是在内核模式下,采用NDIS中间驱动程序技术截获网络封包并用状态包过滤方法过滤网络封包。这种技术不但移植性好,而且具有许多强大的功能。

基于FreeBSD的包过滤防火墙研究与开发

通过对包过滤技术的基本原理进行简要分析,从实现包过滤功能的基本流程出发,本文提出了包过滤型防火墙的形式化模型,结合FreeBSD处理数据包,利用状态监测缓存,使用哈希表提高包过滤规则匹配效率,并根据小型网络系统的安全需求、安全策略介绍了基于FreeBSD操作系统的防火墙设计、系统配置与初步的实现。

包过滤系统中关键字过滤的实现及其性能分析

一般的包过滤系统仅对IP(InternetProtocol)地址、端口类型等项目进行过滤。笔者提出了对数据包中的数据按照关键字进行过滤的方法,并基于KMP(Kunth-Morris-Pratt)关键字匹配算法,对该系统进行了相应的性能测试。在测试环境下,得出网络吞吐量为75%,1000字节长的数据帧的平均过滤时延约为100μs等一系列测试数据。通过对过滤时延的分析及网络吞吐量的测试结果表明,该方案所设计的系统性能基本能够满足实际要求。

Linux下包过滤防火墙的设计与实现

以Suse 9.2为平台,利用Linux内核的Netfilter机制,使用C语言、XML语言、python语言和调试工具GCC等,设计并实现了一个基于IP地址和端口号的包过滤防火墙。与其它的防火墙不同,由于将被限制的IP和端口号设置在XML配置文件中,用户可以根据需要灵活、方便地修改要限制的IP和端口号。经过一系列针对不同IP地址、不同端口号以及不同类型的数据包的测试,该防火墙运行稳定和可靠。

利用决策树实现包过滤的关键技术

把决策树分类器引入包过滤技术当中，改变了传统的顺序检索包过滤的方法。以 增加预处理时间为代价，提高了数据包的过滤速度。该文对决策树分类器的建树算法、搜索 算法以及可递增性等关键技术进行了研究，并通过仿真实例和性能分析表明了该方法的有效 性。

基于包过滤防火墙的防御系统的设计与实现

随着网络的普及,拒绝服务攻击,特别是近年来出现的分布式拒绝服务攻击所造成的危害越来越大。由于它的突发性、隐蔽性和不确定性,目前还没有一种有效的办法来防御这种攻击。本文介绍了DoS/DDoS攻击类型、原理及目前常用的防御办法,提出了一种新的防御系统。在本系统中,以包过虑防火墙为基础,增加了一个检测控制模块。当遭受攻击时,防御系统根据一个合法用户列表自动设置包过滤规则,只对合法用户进行转发,陌生用户则由检测控制模块来检测其合法性,并代替服务器进行三次握手的连接,从而保护服务器免受攻击。