共查询到20条相似文献,搜索用时 115 毫秒
1.
论述了防火墙技术可以对进出网络的数据进行控制,有效地对内部网络实施保护,而流量调节技术通过按优先级发送不同类别的信息量,达到改善网络服务质量的目的,文中将两种技术相结合,构建了某企业CAD网络的防火墙WQ-Firewall的安全系统,以求在获得安全的同时提高网络性能,在Linux系统上实现了加权优先级队列的防火墙,在对IP包进行过滤的同时,根据其IP地址、TCP端口协议类型等信息,为它们分配了不同 相似文献
2.
IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。 相似文献
3.
随着网络功能的不断增加,防火墙过滤规则集合日益庞大,已严重影响了网络整体性能。本文基于网络流量的特征,提出一种根据网络流量变化动态调整防火墙规则的防火墙规则优化方法,使得匹配网络数据包越多的规则越先与数据包相匹配,从而尽量减少数据包过滤时间。 相似文献
4.
常见的网络防火墙系统因受其相对固定的规则集的限制而仅可以过滤掉已知类型的攻击数据包,因而只能为受保护局域网络提供静态的安全性。我们提出了一种网络安全框架,其核心是由一台联接外网与内部局域网的双穴主机所构成的动态防火墙SecuRouter。该动态防火墙在进行传统包过滤工作的同时可以依据局域网内的各入侵检测Agent所提供的信息动态地更新规则库,从而为整个局域网提供动态的保护。通过给出一个与入侵检测Agent通信的接口,该安全框架提供了对不依赖于具体算法的、可扩展的实时入侵检测能力的支持。同时,双穴主机上的网络数据包日志功能也为对网络数据流的进一步离线分析提供了可能。 相似文献
5.
针对传统多点中继(MPR)机制因使用贪心算法而导致求解集合冗余的问题,通过将蚁群优化算法与MPR机制相结合,提出一种基于状态信息的动态更新蚁群优化(DUACO)算法。与传统状态更新机制相比,该算法添加了信息素的动态更新机制和补偿-惩罚规则,考虑到节点移动性将会影响求解集合的精确度,重新定义蚁群算法中的路径选择函数,并将节点移动状态信息加入计算过程。实验结果表明,DUACO算法不仅能够有效降低MPR集合冗余以及提高网络性能,而且还可解决启发式蚁群算法易陷入局部最优解的问题。 相似文献
6.
基于Winsock技术的数据包解析研究 总被引:4,自引:1,他引:4
数据包解析技术是数据包过滤的基础。对数据包进行解析,是基于数据包过滤的防火墙要解决的核心问题,构造数据包的协议有很多种,要根据构造数据包的协议对该包进行处理,要正确理解在网络中传榆的单元,进而才能很好地控制网络单元的传输,实现数据包的过滤。Winsock的服务提供者编程接口的编程技术,打破了底层网络服务提供者的透明性,提供了修改系统SPI接口服务的可能性,利用这项技术能比较容易地完成数据包过滤功能,具体地说就是能增加一些自定义的功能函数,来实现数据包通信的控制,比如截获、转发、丢弃数据包等功能,也就是所说的防火墙实现的功能。当然也可以在这个基础上延伸下去,从而可以完成诸如传输质量控制、扩展TCP/IP协议栈、URL过滤及网络安全控制等功能。 相似文献
7.
随着网络功能和应用程序的增加,过滤规则集日益庞大,这严重影响了网络的性能。该文提出了一种基于规则匹配的防火墙优化方法。该方法对通过防火墙匹配的数据包进行权重计算相关规则排序,从而减少规则匹配时间。仿真结果显示,该方法有效地改善了防火墙的性能。 相似文献
8.
9.
10.
11.
12.
防火墙是确保网络安全的关键设施,而规则匹配又是防火墙的核心技术。随着网络技术的发展,互联网体系结构正逐渐从IPV4向IPV6结构发展,原有的IPV4防火墙规则匹配算法很难直接应用于IPV6网络环境,因为IPV6协议所能表示的地址范围远远超过IPV4协议对应的地址范围。因此提出了一种适用于IPV6环境的高性能规则匹配算法HiPRM(High Performance Rule Matching)。HiPRM算法的核心思想是依据规则的协议和目的端口分布特征,先把整个规则集划分成多个子规则集,再利用位选取算法对规则的源和目的IPV6地址组合的特定位进行选取,然后据此构建二叉查找规则树,最后利用规则树把多个规则子集划分成若干个更小的规则集合。而当报文匹配到某个更小的规则集合时,在小规则集中利用线性匹配法确定具体匹配的对应规则。分析和测试表明,HiPRM算法可以在时间复杂度和空间复杂度较低的情况下实现报文的高速匹配,且具有较好的规则集适应性。 相似文献
13.
Swarm intelligence, a nature inspired computing applies an algorithm situated within the context of agent based models that mimics the behavior of ants to detect sinkhole attacks in wireless sensor networks. An Ant Colony Optimization Attack Detection (ACO-AD) algorithm is proposed to identify the sinkhole attacks based on the nodeids defined in the ruleset. The nodes generating an alert on identifying a sinkhole attack are grouped together. A voting method is proposed to identify the intruder. An Ant Colony Optimization Boolean Expression Evolver Sign Generation (ABXES) algorithm is proposed to distribute the keys to the alerted nodes in the group for signing the suspect list to agree on the intruder. It is shown that the proposed method identifies the anomalous connections without generating false positives and minimizes the storage in the sensor nodes in comparison to LIDeA architecture for sinkhole attack detection. Experimental results demonstrating the Ant Colony Optimization approach of detecting a sinkhole attack are presented. 相似文献
14.
15.
16.
Linux下包过滤防火墙的设计与实现 总被引:2,自引:0,他引:2
以Suse 9.2为平台,利用Linux内核的Netfilter机制,使用C语言、XML语言、python语言和调试工具GCC等,设计并实现了一个基于IP地址和端口号的包过滤防火墙。与其它的防火墙不同,由于将被限制的IP和端口号设置在XML配置文件中,用户可以根据需要灵活、方便地修改要限制的IP和端口号。经过一系列针对不同IP地址、不同端口号以及不同类型的数据包的测试,该防火墙运行稳定和可靠。 相似文献
17.
改进的智能蚁群算法在TSP问题中的应用 总被引:1,自引:1,他引:0
研究旅行商领域优化路径问题,解决目前蚁群算法易陷入局部最优、搜索时间长等问题.为加快算法的速度优化结果,提出了一种改进的求解TSP问题的智能蚁群优化算法.算法前期采用了一种最近节点选择策略对路径进行优化,提高了搜索效率,使之适应大规模问题求解;后期改进了基本蚁群算法中信息素、挥发因子的更新规则,通过改进使得每轮搜索后信息素的增量能更好地反映求解的质量,有效地避免陷入局部最优,加快了收敛.通过改进后的蚁群算法,对TSPLIB中部分问题的仿真结果表明,在避免陷入局部最优和缩短搜索时间方面都取得了很好的效果.证明采取的优化蚁群算法,是可行有效的. 相似文献
18.
19.
Netfilter/iptables防火墙性能优化方案与实现 总被引:5,自引:1,他引:5
随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现。测试结果表明这种方法能够有效提高防火墙的性能。 相似文献