一种分布式防火墙过滤策略的异常检测模型

分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并建立了一个过滤策略异常检测的模型。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。     

基于策略分段的防火墙一致性测试

防火墙是设置在被保护网络和外部网络之间的一道屏障.网络通信需要防火墙根据特定安全策略下进行监控和过滤.防火墙是否有效起到防护作用需要通过防火墙实现和安全策略配置的一致性测试.本文提出了一种改进的防火墙一致性测试方法,引入策略分段的思想,对非原子策略规则有选择的产生测试例,缩减了网络地址空间,将指数级测试例数目O(2101rpmn2)降低为多项式级O(Mpmn2),减少了产生的测试例的数量,有效提高了测试效率.     

基于Linux高校网络防火墙的设计

在众多网络安全技术中,防火墙技术是常用的一种.本文首先分析了网络安全和防火墙的基本概念,然后设计了一种以太网综合型主机防火墙.该防火墙使用了包过滤技术,但是在传统的包过滤技术上作了较大的改进,在包过滤的规则中加入了关键字过滤规则以及基于对TCP连接状态进行监测的动态过滤规则.在该防火墙中还集成了入侵检测模块,使得防火墙能够对网络中的异常情况作出响应,提高了系统的安全性.本文中还在Linux操作系统下将该防火墙进行了实现,并对其     

隧道机制下的图形防火墙实现

本文首先分析了隧道机制本身容易引起地址欺骗攻击,而当前防火墙往往无法抵御这样的网络攻击,针对这样的缺陷,笔者通过改进netfilter机制实现了适用于过渡网络的防火墙功能.同时采用GIMP Toolkit 2.0(GTK 2.0)设计了针对该防火墙的图形界面,从而能方便地配置IPv4或IPv6防火墙过滤规则.最后利用隧道机制搭建过渡网络环境进行防火墙功能测试,验证了方案的有效性.     

分布式防火墙

本文首先针对传统防火墙在新的网络环境下暴露出来的问题．论述了分布式防火墙对于这些问题的相应解决方案然后详细地分析了分布式防火墙原理和实现所需的关键技术．描述了策略制定、策略分发及执行机制并提出了使用PolicyMaker来建立信任管理机制以实现策略制定、分发和执行机制的方案。     

防火墙审计方案的分析与设计

防火墙作为一种必不可少的网络安全防护工具,被广泛应用在各种不同的网络环境中,而网络地址转换策略是防火墙的核心策略之一,承担着保护内网、地址复用等职责。由于当前多数网络中的防火墙都缺乏统一的管理与审计,导致配置混乱、效率低下等情况时常发生。为了尽量避免以上情况的发生,文章提出了NAT替换算法和NAT对比算法,在此基础上设计了一种审计思科防火墙NAT策略的方法流程,并对其有效性进行了分析。     

一种校园网的网络安全策略

随着网络攻击者知识的成熟以及攻击工具与手法的复杂多样,网络安全问题也日益突出起来,单纯的防火墙策略已无法满足网络安全的需要.为了更进一步提高网络安全,必须采用防火墙与入侵检测系统相结合的网络安全技术.另一方面,校园网网络服务平台一般是基于开放源代码软件的,故文中提出了采用Linux系统下IPtables包过滤+Squid&Socks代理服务器的防火墙体系和网络入侵检测系统Snort相结合的网络安全策略来增强校园网的安全,并详细地阐述了在校园网环境下如何实现该策略以及相关的关键技术.     

一种分布式防火墙规则冲突的检测算法

为解决分布式防火墙中因规则冲突而导致策略异常问题,提出了一种基于XML的DFW策略异常的发现算法;该算法在分布式防火墙系统中,对于处在不同防火墙策略中的每条规则,设计一棵单根结点的树来表示分布式防火墙策略,即策略树(Policy Tree),然后通过集合全部的策略树,完成防火墙之间策略异常的发现过程;通过对算法的模拟运行,发现该算法在速度性能和可伸缩性方面较其他算法有很大的改进。     

基于智能型防火墙INTRANET网络安全技术的研究

论文先比较分析了传统防火墙所存在的缺点,讨论了Intranet的网络层与应用层信息在防火墙安全策略制定过程中综合应用的方法,研究了防火墙过滤规则自动产生与自动配置的途径,提出了一种基于智能型防火墙Intranet网络安全的方案及其模型和实现方法。它克服了传统防火墙对未列出的黑客攻击不予理会的等弊病。     

基于区域分割的防火墙部署与配置

防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是受到人们重视的网络安全技术之一。本文为提高网络安全的健壮性,从实施网络安全策略的角度,提出了一种以区域分割的三角方式部署防火墙系统的方案,说明了基于Cisco FIX525防火墙配置方法,以及访问控制列表与防火墙包过滤规则的联合应用方法。实用检验说明,这种方案能够较好地实现网络安全访问控制,有效地提高网络安全性。     

基于智能防火墙的网络安全设计

本文分析了传统防火墙所存在的缺点,讨论了网络层与应用层信息在防火墙安全策略制定过程中综合应用的方法。研究了防火墙过滤规则自动产生与配置的途径,提出了一种基于智能防火墙网络安全的模型和实现方法。     

Application of evolutionary algorithm in performance optimization of embedded network firewall

With the development of the network, the problem of network security is becoming increasingly serious. The importance of a firewall as the "first portal" to network security is obvious. In order to cope with a complex network environment, the firewall must formulate a large number of targeted rules to help it implement network security policies. Based on the characteristics of the cloud environment, this paper makes in-depth research on network security protection technology, and studies the network firewall system. The system implements unified configuration of firewall policy rules on the cloud management end and delivers them to the physical server where the virtual machine is located. Aiming at the characteristics of virtual machines sharing network resources through kernel bridges, a network threat model for virtual machines in a cloud environment is proposed. Through analysis of network security threats, a packet filtering firewall scheme based on kernel bridges is determined. Various conflict relationships between rules are defined, and a conflict detection algorithm is designed. Based on this, a rule order adjustment algorithm that does not destroy the original semantics of the rule table is proposed. Starting from the matching probability of the rules, simple rules are separated from the default rules according to the firewall logs, the relationships between these rules and the original rules are analyzed, and the rules are merged into new rules to evaluate the impact of these rules on the performance of the firewall. New rules are added to the firewall rule base to achieve linear firewall optimization. It can be seen from the experimental results that the optimization strategy proposed in this paper can effectively reduce the average number of matching rules and improve the performance of the firewall.     

基于隐式安全标记的Internet防火墙探讨

针对目前网络安全的严峻形势,回顾了作为应用最为广泛的网络安全措施——防火墙的发展,指明了当前基于规则控制的防火墙的缺点,分析了网络多级安全理论和模型,提出了基于隐式安全标记的防火墙系统,探讨了在网关级别实施粗粒度的多级网络安全。     

Detection of firewall configuration errors with updatable tree

The fundamental goals of security policy are to allow uninterrupted access to the network resources for authenticated users and to deny access to unauthenticated users. For this purpose, firewalls are frequently deployed in every size network. However, bad configurations may cause serious security breaches and network vulnerabilities. In particular, conflicted filtering rules lead to block legitimate traffic and to accept unwanted packets. This fact troubles administrators who have to insert and delete filtering rules in a huge configuration file. We propose in this paper a quick method for managing a firewall configuration file. We represent the set of filtering rules by a firewall anomaly tree (FAT). Then, an administrator can update the FAT by inserting and deleting some filtering rules. The FAT modification automatically reveals emerged anomalies and helps the administrator to find the adequate position for a new added filtering rule. All the algorithms presented in the paper have been implemented, and computer experiments show the usefulness of updating the FAT data structure in order to quickly detect anomalies when dealing with a huge firewall configuration file.     

防火墙技术在校园网络的应用研究

本文通过对防火墙的设置方案、产品选择、路由器的配置方案、防火墙与入侵检测技术IDS的研究,系统地讨论了防火墙技术在校园网络中的应用。     

基于时间的多层防火墙访问控制列表策略审计方案

针对多层防火墙中的访问控制列表（ACL）策略审计问题,基于时间分析了单个防火墙间及多层防火墙间的策略异常,并根据防火墙之间的拓扑结构提出了一种基于树结构的回溯异常检测算法（ADBA）。首先,解析各个防火墙ACL策略,统一数据格式到数据库;然后,根据防火墙间的拓扑建立树状结构并检测单个防火墙内的策略异常;最后,ADBA利用数据库中的数据与树结构进行异常检测并记录异常策略。实验结果表明,ADBA与基于半同构标记防火墙决策图（SMFDD）算法相比,ADBA的检测时间比SMFDD算法减少了28.01%,同时参考时间因素相比SMFDD算法,ADBA能够减少异常检测的误判。故ADBA能有效实施于多层防火墙的ACL策略审计,提高异常检测的精确性并减少异常检测时间。     

Squid代理服务在校园网中的应用

本文分析了代理服务器安装配置,和它在防火墙和反向代理服务中的详细功能,并就校园网络的安全防范要求,阐述了代理服务器访问控制策略。     

基于知识库的Unix主机配置安全审计软件的设计与实现

配置安全审计是保证Unix主机安全的重要措施,并进一步为Unix操作系统所承载的业务应用提供了安全保障。本文首先分析Unix操作系统的配置安全和传统的配置安全审计方法,并针对传统方法的不足,提出一种基于可灵活配置的知识库实现Unix操作系统配置安全审计软件的设计方案,最后给出这种方案的具体实现。