一种基于SFDD的状态防火墙规则集比对方法

状态防火墙是一种新型防火墙,而传统防火墙决策图(FDD)构造算法并不适用于状态防火墙的规则集比对.本文在FDD基础上,提出一种状态防火墙决策图(SFDD)构造算法,将规则集转化成图形化的等价的SFDD,用于状态防火墙规则集比对.理论分析和仿真实验结果表明,利用SFDD构造算法进行比对,能有效检测出规则集之间的全部不同点;当状态防火墙的状态部分规则和无状态部分规则条目数量均达到3 000时,比对过程所耗费的平均时间不超过2s.

基于统计分析与规则冲突检测的防火墙优化

提出一种基于统计分析和规则冲突检测的防火墙优化方法,从防火墙规则的匹配概率入手,结合规则间的冲突检测,实现防火墙规则的精简和线型匹配优化。实验表明,该方法在一般情况下能对防火墙已有的规则进行精简,使其平均规则匹配次数减少40%,性能得到较大的提高。

有序二叉决策图在防火墙规则库设计中的应用

在防火墙规则库的设计中利用有序二叉决策图(ordered binary decision diagram,OBDD)来表示防火墙的访问控制规则集,改变了传统的顺序存储规则的规则库设计方法,以增加预处理时间为代价,有效地提高了规则的匹配速度,从而提高了防火墙的性能及其安全性.

一种性能优化的防火墙规则匹配算法

设计了一种防火墙规则匹配算法,该算法基于分治思想将规则集按照协议类型分割为多个子集,并根据规则之间的关系,将各子集分为无序组和有序组,通过设计哈希函数和索引算法对两组规则进行分别匹配。分析表明,该算法的效率远优于同类算法,大大提高了防火墙的工作性能。

一种防火墙规则冗余检测与消除方法

防火墙在网络安全领域起着非常重要的作用,它根据事先制定的策略规则对进出网络的数据包进行检查和控制,允许或拒绝这些数据包进出网络。随着网络规模的不断增大,防火墙中的策略规则也越来越多,难免会出现一些冗余规则,从而导致防火墙的管理难度加大、吞吐率下降。提出了一种防火墙规则冗余检测与消除方法,采用基于规则的分段技术和基于网格的表示技术,同时在多条规则中识别出冗余关系,较传统方法识别效率更高。

一种防火墙规则冲突检测方法研究

防火墙是保证网络安全的重要技术之一,然而目前云环境下的防火墙,其网络流量处理通常达到万兆级。而万兆防火墙的产生,防火墙规则集的日益增大和规则间的相互冲突,严重影响了防火墙性能。主流的规则冲突检测方法主要是基于对原始规则集的检测,其方法无法实现多条规则之间的检测,且无法准确找出冲突范围。文章提出一种基于有效规则集的防火墙规则冲突检测方法,该方法对基于状态变迁的冲突检测方法进行改进,通过集合运算生成防火墙规则的有效规则集,把对原始规则集中规则的检测转变为对有效规则集中规则的检测。该方法优化检测流程,实现多条规则的冲突检测,准确找出冲突范围以提供消除方案。实验结果表明,在原始规则集存在一定冗余规则的情况下提高了检测效率。

防火墙规则优化

研究确保在防火墙规则应用之前能够进行规则的冲突检测,避免规则之间出现矛盾、冗余。同时,描述了在保持规则间相互关系的基础上,利用日志管理系统的统计数据对规则重新排序,将最常用的规则放在具有高优先级的位置,从而降低规则比较的次数,进而提高防火墙过滤数据包的速度。

用于控制器保护的防火墙规则的三叉树算法

为提高防火墙安全规则的查找速度,提出了一种面向IP地址集合处理的时间复杂度为O([log32N])的三叉树查找算法,N为安全规则数。用空间分析法解决规则冲突,并给出规则树的生成算法,该方法适用于控制应用的可靠性分析和安全完整性等级验证的要求。

防火墙ACL规则管理分析工具研究与应用

随着黄山供电公司信息安全管理的日益严格,防火墙的ACL策略也变得日益复杂,如何对防火墙的ACL策略进行有效管理,成为公司信息运维蓝队对信息安全防护工作的重要课题。针对防火墙ACL管理存在的各类问题,黄山供电公司自主研发一套ACL规则管理分析工具并应用于本单位,通过本工具的使用,可快速解析防火墙规则,发现过期策略、开放范围过大策略以及和其他策略存在包含关系的策略,帮助运维人员快速梳理不合理的防火墙策略,为策略的整改完善提供决策支撑。

一种基于逻辑编程的防火墙规则形式化分析方法

防火墙作为网络安全体系的基础和核心控制设备,其作用的发挥取决于防火墙规则的正确配置。由于防火墙规则配置的复杂性,导致规则间可能存在冲突,使其不能满足安全目标。文章提出一种基于逻辑编程的防火墙规则形式化分析方法,将安全目标与防火墙规则转换为逻辑程序后加载到推理引擎,制订一系列推理规则,通过提出高级查询进行防火墙规则的冲突检测和正确性验证,并对分析结果进行解释。

IMO·SOLAS公约的新防火规则

在1974年通过的海上人命安全公约(SOLAS)第Ⅱ-2章中，规定了有关船舶防火安全的规则，主要包括防止火灾发生、火灾的早期发现，阻止火灾扩大和安全避难手段等。

防火墙规则冲突快速检测算法分析

如何提高效率一直是防火墙规则冲突检测算法中的关键问题。当防火墙的规则书目比较大时,冲突拖缓了速度,不能很好的满足客户的需要。因此,选择一种快而有效的检测算法,成为当务之急。目前使用较多的ASBV算法,使用了位向量和分治技术,算法只进行一次位运算,在不影响结果的基础上,极大地提高了验算效率。

基于非单调推理的防火墙规则一致性检测与包容

1引言据CNNIC调查,在网民中,中学生上网人数已占到网民总数的33%,每3个上网的人群里面就有1个是中学生.而由于黑客、病毒等网络安全威胁因素的出现和泛滥。

iptables搭建防火墙规则

前面介绍iptables的基本概念和用法．下面我们就开始正式使用iptables来创建我们的防火墙。启动和停止iptables的方法取决于所使用的Linux发行版，你可以查看所使用Linux版本的文档。在Red Hat中，启动iptables用：

防火墙访问控制列表规则合理性研究分析与应用

随着公司信息安全管理的日益严格,防火墙的访问控制列表(ACL)策略也变得日益复杂。针对防火墙ACL管理存在的各类问题,自主研发一套ACL规则管理分析工具并进行应用。该工具的使用可快速解析防火墙规则,发现过期策略、开放范围过大策略以及和其他策略存在包含关系的策略,帮助运维人员快速梳理不合理的防火墙策略,为策略的整改完善提供决策支撑。

Linux防火墙的Web设置系统

给出了 L inux防火墙的可视化设置系统 ,同时提出了一些防火墙规则语义完整性检测的方法 。

基于安全配置督查的状态防火墙设计与实现

由于状态防火墙是一种新型的防火墙,而传统的防火墙的安全配置算法(防火墙决策图),并不适用于状态防火墙的规则集比对。通过对马尔可夫链的构造,将规则集转化为图形化的等价的状态防火墙,从而最终用于状态防火墙的规则集比对。理论分析表明,该方案能够有效地检测出状态防火墙规则集之间的异常规则。实验结果表明,该方案可以代替传统的人工评判方法,在当状态防火墙的状态部分规则和无状态部分规则条目数量分别达到3000条时,其比对过程所耗费的平均时间不超过2s,从而大大提高了督查效率,且系统运行时间开销较小。

智能防火墙技术的研究

介绍了目前常见的Internet网络攻击手段和原理,分析了网络安全技术中防火墙技术的特性和工作机理,并提出了新一代智能型防火墙系统运行结构,最后给出几点网络安全技术的建议.

基于时间的多层防火墙访问控制列表策略审计方案

针对多层防火墙中的访问控制列表(ACL)策略审计问题,基于时间分析了单个防火墙间及多层防火墙间的策略异常,并根据防火墙之间的拓扑结构提出了一种基于树结构的回溯异常检测算法(ADBA)。首先,解析各个防火墙ACL策略,统一数据格式到数据库;然后,根据防火墙间的拓扑建立树状结构并检测单个防火墙内的策略异常;最后,ADBA利用数据库中的数据与树结构进行异常检测并记录异常策略。实验结果表明,ADBA与基于半同构标记防火墙决策图(SMFDD)算法相比,ADBA的检测时间比SMFDD算法减少了28.01%,同时参考时间因素相比SMFDD算法,ADBA能够减少异常检测的误判。故ADBA能有效实施于多层防火墙的ACL策略审计,提高异常检测的精确性并减少异常检测时间。

Linux防火墙分析

描述了在Linux操作系统环境下防火墙的工作过程，对防火墙中包过滤工作过程的每一步从功能、流程上进行了详细的描述，并给出了包过滤规则工作流程图；同时，对防火墙的核心包过滤函数ip_fw_check（）进行了详细的介绍，分析了其函数参数、返回值和工作流程以及防火墙链结构Ip_fw，全面说明了Linux操作系统环境下防火墙的主要工作过程，明确了Linux操作系统下防火墙规则如何对数据流进行判断和控制管理．最后，给出了Linux操作系统环境下防火墙的使用建议．