全状态防火墙双机热备份的设计与实现

介绍了全状态防火墙的基本概念,阐述双机热备份系统的组成和工作原理,接着详细描述全状态包过滤防火墙的双机热备份模块的设计,包括硬件框架和软件框架,防火墙系统工作状态定义和演变,最后从双机通信、双机同步、双机切换三个方面详细阐明了双机备份系统中的双机控制。

状态防火墙受攻击导致状态表溢出故障的解决

网络防火墙的状态检测就是针对连接请求的数据包,检查连接实体其是否符合TCP/IP协议的状态转换规则,相符则接收数据。DoS/DDoS攻击通过在短时间内发送大量短小的数据包给防火墙,造成状态表被填满而拒绝接收新的连接,导致产生拒绝服务攻击。传统的解决方案往往增加防火墙的负担。针对网络上常见的流量型DoS/DDoS攻击造成的状态防火墙状态表溢出故障提供一种应急解决方案。

软件定义网络下状态防火墙的设计与实现

软件定义网络(software defined networking,SDN)技术将传统网络构架解耦为控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案。但随着SDN相关网络设备的出现,安全问题成为制约其发展的一个重要因素。传统的防火墙被置于非信任的网络与被保护网络之间,当网络出现安全隐患时采用边界上的过滤封锁机制来应对。然而传统防火墙在面对不断更新的大量网络攻击时仍然漏洞百出,急需对防火墙应对危险的机制进行创新。SDN是一种新兴的控制与转发相分离并直接可编程的网络架构,其核心思想是将传统网络设备紧耦合的网络架构解耦成传输面与控制面,网络管理人员可以通过一个中央控制器向网络中的交换机下发防火墙策略。文章先介绍了SDN防火墙架构相关知识后,采用软件定义网络编程语言Pyretic编写一种基于IP地址识别的状态防火墙,并将其部署在控制面中。通过搭建虚拟网络完成状态防火墙策略部署与下发实验,充分表明该防火墙策略在软件定义网络环境中实现的灵活性与控制的细粒度。

基于改进决策树的有状态防火墙模型

适应复杂防御策略的有状态模型是研究有状态防火墙的核心内容。防火墙的运行不仅应当具有时间和空间上的效率,还应当允许管理员定义复杂的逻辑过程和状态信息。在一种经典的有状态防火墙模型的基础上,结合改进决策树,提出了一种新的允许用户自定义状态变量以及防御算法的模型。该模型能够更好地适应针对不同类型网络攻击,复杂多变的防御策略需求,在时间和空间上也具有较好的效率。

基于可编程数据平面的状态防火墙技术

软件定义网络(software define networking,SDN)实现了控制平面与数据平面的解耦,防火墙功能可以在控制平面实现并向交换机下发策略,但是也会导致各层之间的通信开销不可忽略,并且在控制平面上引入额外的计算负荷。针对上述问题,提出了一种基于可编程数据平面的状态防火墙方法,通过在数据平面设计有限状态机和状态表,实现根据不同的数据包类型制定相应的检测逻辑,将状态的检测和管理逻辑从控制平面转移到数据平面。最后,搭建仿真环境进行验证,结果表明该方法可以实现基于状态的细粒度的访问控制并且减少通信开销。

UDP状态检测防火墙及实现算法

分析了状态检测防火墙的工作原理,提出了一种能有效防御目前针对状态检测防火墙进行DoS攻击的UDP(UserDatagramProtocol)状态检测防火墙模型及其实现算法.模型使用了动态设定虚连接生命期的方法,以避免防火墙的状态表被填满而导致防火墙拒绝服务;在算法中利用哈希函数对UDP虚连接进行管理,将算法平均时间复杂度控制在Ο(λ),空间复杂度控制在Ο(n),在冲突较少的情况下,算法时间复杂度为Ο(1),使防火墙具有较好的执行效率.

一种支持大规模连接数的状态检测防火墙

状态检测防火墙,是目前最常见的防火墙,这种类型的防火墙,需要维护每个连接的状态信息。近年来随着P2P应用的深入发展,特别是随着BT下载、视频直播、点播的广泛应用,状态检测防火墙需要维护的连接数越来越多,造成防火墙空间使用量过大。针对这一问题,文中提出一种能够支持大规模连接数的状态检测防火墙SDBF(Stateful DetectingBloom Filter),与传统的状态检测防火墙不同,SDBF防火墙将每个连接的标识信息存储在Bloom filter内,并将Bloom filter放在片内SRAM中。理论分析和仿真实验表明:在使用6MBytes片内SRAM的情况下,SDBF防火墙能够支持100万连接数;其内存使用量,远小于支持100万连接数的传统状态检测防火墙。

Linux内核状态检测防火墙的研究与分析

Linux 2.4.x内核下基于Netfilter框架的状态检测防火墙由状态跟踪器、状态检测表、协议处理器构成。状态检测防火墙模块的初始化和注销是通过调用static int init orcleanup(int init)来实现的。状态检测防火墙依赖于在钩子点定义钩子函数来实现,状态检测集中在其中四个钩子点进行。状态检测表的状态是指NEW、ESTABLISHED、RELATED等这些状态。具体的协议要处理具体协议的状态。

状态检测防火墙构建

本文以Linux2．4的内核为基础，分析了嵌入Linux内核中的Netfilter的工作原理，结合现实的网络环境实例，在Netfilter强大包过滤功能和数据包处理的框架基础上，借助Iptables灵活、多变的用户空间实现工具，为在复杂多变的网络环境中实现基于状态检测的过滤型防火墙提供了一种商效、快捷的手段。

针对GTP协议的状态检测防火墙技术研究

3G通信安全越来越受到人们关注。GTP(GPRS Tunnel Protocol)协议是3G通信中的重要协议。GTP协议本身并没有任何内在的安全机制,针对GTP协议的各种攻击会给3G核心网的基础设施和移动用户带来巨大的危害。介绍了针对GTP协议的一种可能的资源耗尽攻击,并提出了一个解决此种攻击的状态检测防火墙方案。

EPA网关状态检测防火墙的设计

EPA网关是保障EPA系统安全的关键边界设备。状态检测防火墙采取基于连接的状态检测技术,对属于同一连接的数据包只需进行状态匹配检测而无需进行复杂的规则过滤即能确定其通过与否,从而在保证数据包过滤的安全性的基础上提高了防火墙数据包过滤效率,从而改进了系统安全保障能力。

基于状态检测防火墙的“穿越”误区

在使用防火墙设备时难免会存在一些误区,就比如本文所讨论的ICMP协议数据包的"穿越"问题。本文对一些相关概念问题进行简要的解析。

防火墙技术发展研究

防火墙技术是实现网络安全的一种重要手段，介绍了防火墙的概念，分析了传统防火墙的原理和特点，并对几种新的防火墙技术作了归纳。

概述防火墙发展

全面介绍了防火墙的发展历程．详细剖析了各代防火墙的功能原理、关键技术及特点，同时简要描述了防火墙技术的发展趋势。

防火墙技术与信息安全

随着互联网的迅速发展和信息化进程的深入,信息安全问题变得越来越重要。本文主要分析了 目前存在的包过滤防火墙、应用代理服务器、状态检测防火墙的优缺点及新一代防火墙的技术特点,最后给 出了实施网络安全管理的方法。

网络防火墙技术探析

本文介绍了计算机安全技术中网络防火墙的定义及其概况,论述了网络防火墙安全技术的分类及其主要技术特征,并介绍了最新的防火墙技术及其发展。

浅谈防火墙技术

本文从防火墙的定义出发,分析了防火墙的功能,重点介绍了三种类型的防火墙技术。

漫谈防火墙的选择

防火墙作为防止黑客入侵的主要手段,已成为政府机关、企事业单位网络安全建设的必选设备。在有线数字电视的发展中,数据网络建设和增值业务应用亦离不开防火墙的保护。面对种类繁多的防火墙产品,用户应该如何取舍呢?本文将从相关技术,选购要素,选购策略三个方面进行介绍.

网络处理器与高性能状态检测防火墙(一)

网络处理器将网络处理任务划分到控制层和数据层两个层面,控制层面专门负责非实时性的管理和策略控制等,数据层面承载高速易变的数据实时处理。

什么是状态检测防火墙

Check Point公司推出的新一代防火墙核心架构—状态监测防火墙,目前已经成为防火墙的标准。这种防火墙在包过滤防火墙的架构之上进行了改进,它摒弃了包过滤防火墙仅考查进出网络的数据包,而不关心数据包状态的缺点,在防火墙的核心部分建立状态监测表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。