基于Netfilter框架的计费网关

针对网络计费需求,比较目前几种常用网络计费方式的优劣,介绍了LinuxKernel2.4中的netfilter框架原理,在此框架基础上设计和实现了一种基于用户验证的计费网关。

Netfilter框架下多频入侵信号波束响应分布特征分析

在Netfilter框架下,由于网络的自组织性和开放性,导致网络受到入侵的概率增大,Netfilter框架下入侵信号具有多频特征,对Netfilter框架下多频入侵信号进行准确检测的基础是进行特征分析,传统方法采用时频特征分析方法进行入侵检测,无法有效定位多频入侵信号的宽带时频特征,提出一种基于波束响应分布特征分析Netfilter框架下多频入侵信号检测方法。进行Netfilter框架下的网络入侵模型进行数学分析和信号分析,提取Netfilter框架下多频入侵信号波束响应分布特征,对已解码的Net-filter下的多频入侵特征和WZ帧进行内插值分析,由此实现入侵检测,仿真结果表明,采用此方法进行多频入侵检测的准确度较高,性能优越,在网络安全防护等领域具有较好的应用价值。

基于Netfilter框架的校园网计费系统

针对目前校园网的计费需求以及常用的两种计费方式的缺陷,提出了一种基于L inux的Netfilter框架的计费系统的解决方案,并对其中涉及到的关键性技术进行了分析,设计出了一种适应性广、稳定性强的高效的校园网计费管理系统。

基于Netfilter框架的访问控制的动态实现

分析了校园网访问控制的静态实现方法的不足,提出了动态的实现方案,并对其中的关键技术进行了探讨。动态实现方案的核心是控制网关的实现。基于Netfilter框架,对控制网关的两个组成模块进行了设计和实现。新方案具有良好的安全性,并能够整合校园网中存在的端到端的访问验证,在校园网中实现统一的访问控制。最后,通过实验证明新方案是可行的,且运行表现良好。

Netfilter框架结构分析

从Linux2.0的ipfw框架、ipfwadm工具到Linux2.2的ipchains框架、ipchains工具,再到目前Linux2.6的Netfilter/iptables框架,Linux防火墙的体系结构框架趋向合理完美。特别是Linux2.4内核的发布更是一个里程碑,在网络功能方面,Linux2.4内核相对于Linux2.2内核在IP协议栈部分有很大的变化,在防火墙方面,Netfilter/iptables框架结构的引入更是革命性的变化,这一框架结构已经成为Linux2.6内核防火墙的最重要的特色,本文对Netfilter的结构进行了剖析。

应用Netfilter框架基于NAT-PT的IPv4/IPv6转换网关的实现

在IPv4向IPv6过渡的过程中,必须解决纯IPv4节点与纯IPv6节点之间的通信问题。基于NAT-PT机制的转换网关是解决这一问题的一种方法。该文对NAT-PT机制进行了深入的分析,在应用Netfilter功能框架的基础上,提出了基于NAT-PT机制的转换网关的一种模块化设计。

基于Netfilter框架的VPN网关的一体化设计

随着Linux版本的升级,Linux下的防火墙技术也在不断地成熟。当前,基于netfilter框架的iptables防火墙,具有轨迹跟踪的功能,实现了基于状态检测的包过虑处理,成为近年来比较盛行的防火墙。该文就netfilter框架和轨迹跟踪技术进行了分析,同时,研究了网桥和防火墙的结合方式,提出了基于轨迹跟踪的VPN处理模式,最后,对支持路由和网桥两种模式的VPN处理且集成状态检测防火墙的安全网关进行了研究和一体化的设计。

基于Linux内核Netfilter框架的P2P管理

在介绍P2P技术和Linux内核Netfilter框架的基础上,提出了识别P2P网络数据包的方法――端口识别法和特征码识别法。介绍了特征码识别法,讨论了如何获取P2P特征码并列出部分已知特征码,阐述了如何利用Netfilter框架进行P2P识别与管理,并进行了简单分析与总结。

Netfilter框架下防火墙模型总体结构设计

由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理时的无政府状态,逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁。防火墙在保护网络安全方面起着重要的作用。在分析目前主流防火墙技术特征及其缺陷的基础上,提出了一种基于Netfilter框架下防火墙模型结构,该模型可以较好解决现存的包过滤过滤机制和代理机制在效率和安全性方面的问题,提高Linux防火墙的可用性。

NAT-PT转换网关在netfilter框架中的实现

由于在IPv4向IPv6过渡的过程中,两种网络将共存,所以这两种网络之间的通讯是必须解决的问题。应用NAT-PT转换网关是解决这一问题的一种方法。首先对NAT-PT机制进行了研究,着重讨论了NAT-PT机制中的地址转换操作过程,然后对LinuxNetfilter功能框架作了介绍。最后提出了一种基于netfilter功能框架的NAT-PT转换网关的一种模块化设计。这种模块化的NAT-PT转换网关具有实现简单和易于进行进一步功能扩展的特点。

IVI翻译机制在Netfilter框架中的设计与实现

由于IPv4过渡到IPv6需要经历一段相当长的时间,因此,必须研究一种适合于Intranet(企业内部网)的IPv6过渡策略,以保证IPv4网络与IPv6网络的正常通信。在几种常用的过渡技术基础上,采用了以Netfilter为框架的扩展模块形式配合使用Xtables-addons插件,快速高效地实现了IVI机制的方案,然后对该方案中的IVI匹配模块与IVI目标模块进行了具体实现与详细分析,并将其应用于真实网络中进行测试。IVI翻译机制能有效地解决IPv4主机与IPv6主机相互通信的问题,为广泛部署Intranet过渡网络提供实际应用参考。

基于Netfilter框架的L7-filter模块实现研究与应用

本文介绍了Netfilter框架的工作原理和Netfilter扩展匹配模块的实现机制。L7-filter是防火墙体系Netfilter的一个扩展匹配模块,其功能是利用正则表达式匹配技术基于数据流的应用层内容的过滤。本文分析了L7-filter的原理和实现,并举例说明了如何使用L7-filter匹配各种协议。

基于Netfilter框架的IPSec VPN网关实现

文章阐述了VPN网络工作的基本原理,实现VPN网络的主要安全技术,VPN网络主要是通过IPSec协议来实现;介绍了利用Linux 2.4.x内核提供的Netfilter机制,实现IPSec的无缝接入;构造了一个基于IPSec的VPN网关。

基于Netfilter框架的连接管理模型的研究

分析了Linux内核的Netfilter框架的实现机制,简要介绍了TCP粘合技术。业务选择网关(SSG)只允许授权用户进行TCP连接和资源访问,对TCP粘合技术进行改进,使之适应SSG连接管理机制的需求。提出基于Linux内核的Netfilter框架的连接管理模型的方案,并通过Netlink来实现用户空间和内核空间之间的数据交换。实践证明该方案能有效的对用户的连接进行控制和管理,这种模块化的实现方案具有易于功能扩展的特点,并且系统的性能得到显著的提高。

基于Netfilter框架的IEC 62439-3实现方案

针对现阶段智能变电站实现通信冗余所存在的问题,简要分析IEC 62439-3标准提出的并行冗余协议(parallel redundancy protocol,PRP)和高可用性无缝环网(high-availability seamless redundancy,HSR)原理。由于PRP/HSR具有无缝切换的明显优势,提出基于Linux内核Netfilter框架的PRP/HSR冗余网络实现方案。在现阶段站控层组网过程中,单连接节点(single attached node,SAN)主要采用冗余盒接入网,该设计方案利用Netfilter框架的数据转发机制实现冗余,可避免使用冗余盒,以提高智能变电站通信网络组网的经济性和可靠性,为IEC 62439-3在智能变电站中的推广提供支持。

基于NAT-PT的IPv4/IPv6的转换网关在Netfilter框架中的实现

在IPv4向IPv6过渡的过程中,基于NAT-PT机制的转换网关可以很好的解决纯IPv4节点与纯IPv6节点之间的通讯问题。文章首先对NAT-PT机制进行详细讨论,然后提出一种的构建于Netfilter功能框架上的基于NAT-PT机制的转换网关的模块化设计。

利用Netfilter框架和TC实现P2P流量控制

该文介绍了P2P应用及其优缺点,对Linux内核的Netfilter/Iptables技术和带宽控制技术进行了分析,分析P2P协议并提出一套完善的识别方法。在路由器上应用该系统,结合Iproute2工具的Traffic Control命令以脚本的形式在系统启动时自动加载,实现了网关对内网P2P流量的监控与限制,实现了流量均衡。

利用Netfilter框架和TC实现P2P流量控制

本文介绍了P2P应用及其优缺点,对Linux内核的Netfilter/Iptables技术和带宽控制技术进行了分析,分析P2P协议并提出一套完善的识别方法。

基于Netfilter框架的VPN网关实现技术研究

VPN是在开放网络环境下向用户提供类似专用网络的信息传输框架的安全体系。VPN解决全球化企业联网的能力正使其越来越受到关注。IPSec协议良好的体系结构及解决端对端通信的能力使其已经成为开发VPN的事实标准。该文在深入研究IPSec协议以及Netfilter框架的基础上,提出了一种全新的基于Netfilter框架实现VPN网关的实现方案,并在工程中进行了实施。

基于Netfilter框架的分布式网络入侵检测系统

针对网络入侵检测系统(NIDS)的处理速度无法跟上网络通讯及其数量的增长速度,提出了基于Netfilter的分布式NIDS系统和负载均衡算法,在Netfilter上实现了数据包的分流,使得分配到每一个NIDS的数据包的集合是一个特定攻击的特征集合。实验表明,分布式NIDS中每个NIDS的负载基本相等,漏检率减少到了单个NIDS的1/4。