具有字符过滤功能的包过滤防火墙的设计研究

一、绪论传统的包过滤防火墙系统主要是包过滤规则以IP信息包为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP)、端口号等进行筛选。只有符合访问条件的数据包才被转发,其它包被丢弃。其功能设计主要是为在IP层和传输层上进行过滤的,而内容过滤在传统的包过滤防火墙上是难     

在Visual Studio 2005中用IIS创建新的Web系统

快速回顾：IIS如何映射应用程序和站点？ Microsoft IIS支持在一个服务器上寄宿多个“站点”。这些站点被定义为一个由IP地址、主机名和／或端口地址惟一确定的组合。例如，我的站点（www．scottqu．tom）是由一个IP地址（192．197．157．24）、主机名（www．Scottgu．com）和端口号“80”（默认的HTTP端口）所组成的。Nikhil的站点（www．nikhilk．net）是另一个寄宿在同——Web服务器上的站点。它具有与我的站点相同的IP地址（192．197．257．24）和端口号（80），但是它的绑定主机名小同。只要这3个（IP地址、主机名、端口号）元素中有任何一个不同，那么就可以将在IIS上的每个站点区分开来并分别映射。     

基于IPTABLES的网络计费系统的设计

以Iptables作为网关来实现中小型局域网的内网机器上网,将内网用户的帐号和IP地址绑定,通过修改Iptables的规则以及修改Netfilter的代码来控制内网用户上网;系统在计费的同时还可以实现域名和关键字过滤以及内网的防火墙,实现成本低,安全系数较高。     

无线局域网存在的安全威胁分析及防范

无线局域网为用户提供了更大的方便,同时也带来了一定的安全隐患,其安全威胁主要有非授权接入、数据窃取和协议漏洞,针对此类威胁,要保障无线局域网的安全防,可提升无线网络的加密级别、不使用弱密码、采用静态IP和MAC地址过滤,此外,还可隐藏无线SSID、定期更换密匙、关闭无线WPS/QSS功能、严控个人无线AP和使用企业防火墙和无线入侵检测系统等。     

基于入侵检测的防火墙策略研究

防火墙是预防网络入侵的一种重要的技术。入侵检测是安全防御体系中继防火墙、数据加密等传统安全保护措施后又一项重要的安全保障技术,可以在入侵的全过程对系统进行实时检测与监控,本文对主机入侵检测技术和防火墙进行了深入的分析和总结,指出了两者的优、缺点,讨论了防火墙与主机入侵检测系统的联动。     

企业级防火墙应做的十件事

传统的防火墙重在抵御简单的威胁和入侵攻击。企业级防火墙增加了统一威胁管理（UTM）服务，如防病毒、防间谍软件、入侵防御、内容过滤，甚至一些防垃圾邮件服务，以增强威胁防御功能。穿越防火墙的大多数流量都不具威胁性，而是一些应用和数据。而这就是应用防火墙由来的原因，应用防火墙可管理和控制穿越防火墙的数据和应用。     

入侵检测系统探讨

当今世界,互联网迅猛发展,人们在充分享受信息资源共享极大便利的同时,基于互联网的广域开放性,也使网络被攻击和破坏的风险大大增加,各种攻击事件与入侵手法层出不穷,由此催生市场对于网络安全产品的需求不断增加。使用防火墙、访问控制、加密技术等传统的安全技术和产品,在入侵技术快速发展的新形势下,逐步暴露出其局限性。入侵检测系统是继防火墙之后计算机网络安全系统保护的第二道安全闸门,主要收集计算机网络或计算机系统中若干关键点的信息并对其进行分析,从而发现网络或系统中是否存在违反安全策略的行为或被攻击的迹象,引入入侵检测系统,并对入侵检测的分类和存在的问题进行分析与研究,最后分析入侵检测发展方向。     

刍议面向可信互联网的IP地址管理技术

在互联网当中,IP地址是非常重要的基础资源,而且IP地址和互联网的安全可信也有着比较紧密的联系。为了能够构建可信的互联网环境,那么最关键的就是需要对IP地址的管理工作进行研究,主要就包括了IP地址的配置、IP地址的分配以及源地址的验证等。本文主要就是对面向可信互联网的IP地址管理技术进行简单的分析和介绍。     

多层防火墙的设计与实现

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全之间信息的唯一入口。文章设计了一款小型防火墙,结合了包过滤、代理服务器等实用的防火墙技术,为提高网络的安全起到一定的作用。     

软交换网络设备运行监控的研究

本文主要是利用HOSTMONITOR软件,通过合理配置,在软交换网络结构下,对软交换设备、信令网关设备、中继网关设备、媒体服务器、二层交换机、三层交换机、防火墙设备等数据设备的IP端口运行情况进行监控,以期尽快发现IP端口运行异常并处理,保证软交换网络运行正常。     

简述视频会议系统中防火墙及NAT问题

基于IP的语音和视频通讯协议，要求终端之间使用IP地址和数据端口来建立数据通信通道。而为了建立数据连接终端必须随时侦听它处来的呼叫，防火墙通常被配置来阻止任何不请自来的数据包通过，在lP语音和视频通讯中NAT问题也很常见。对此，本文对视音频流透过防火墙和NAT的解决方法进行了讨论。     

一种通用网络通信系统的设计与实现

在TCP／IP协议的基础上，采用合理的软件结构、算法以及对同一主机的多网卡支持，设计了一种可应用于大型分布式处理（如分布式仿真）的多机通信系统，目标是屏蔽诸如IP地址、端口号、套接字等网络通信概念，实现一种通用的进行网络通信实时可靠传输的机制，避免类似程序的重复开发，使网络通信的实现更加容易。应用结果表明，系统使用容易、通用性强，实现了对通信服务的实时传输和可靠传输的支持。     

防火墙与入侵检测联动技术研究

防火墙与入侵检测作为保护网络安全的重要技术手段被广泛应用,但现有的安全产品往往将防火墙与入侵检测系统单独使用,不能满足网络安全整体化、立体化的要求。本文介绍了网络防火墙的主要技术,探讨了防火墙与网络入侵检测系统联动模型。     

Linux下阻止IP欺骗攻击的防火墙设计研究

以redhat5.0为实验平台构建一个防御IP欺骗SYN攻击的包过滤防火墙。是以RED算法为基础,结合TCP数据包重传机制,检验SYN数据包的IP地址真实性。对TCP请求数据包利用RED算法判断TCP请求的平均队列长度和包丢弃概率。平均队列长度超过系统负载最大值时,直接按照随机分配的丢弃概率判断是否丢弃数据包。平均队列长度在系统负载之内时,如果当前的丢弃概率大于给定的阈值,则查找哈希表是否有相同的数据节点,找到则接受该数据包,没找到则保存数据包信息到哈希表,同时丢弃该包。经过分析研究和实验的验证,该防火墙具有较好的吞吐量,同时正常数据包的通过率较高。     

解析媒体矩阵（Media Matrix）（五十六）新网络音频传输技术Dante（5）Zoroconf协议（续2）

要获得一个合法的IP地址通常有两种方式。第一种是手动方式,网络管理员可以手动分配一个网络中合法的并且是唯一的IP地址给你的机器使用;第二种是使用DHCP服务进行自动IP地址分配。Zeroconf技术允许两种方式并存。下面分别来阐述两种IP地址分配的原理和方法。     

Netnlter／Iptables防火墙的运行机制分析与性能优化

通过将处于filter表的未经过NAT的和经过DNAT的iptables过滤规则通过各种转换方法前移到raw表或mangle表的PREROUTING链,以及按照各种报文的出现频率来调控规则的先后顺序有效的减少报文经过的平均规则数,从而提高iptables防火墙的性能。     

Netfilter/Iptables防火墙的运行机制分析与性能优化

通过将处于filter表的未经过NAT的和经过DNAT的iptables过滤规则通过各种转换方法前移到raw表或mangle表的PREROUTING链,以及按照各种报文的出现频率来调整规则的先后顺序有效的减少报文经过的平均规则数,从而提高iptables防火墙的性能。     

邮件服务器过载问题的前置式过滤技术

针对邮件服务器由于垃圾邮件过多而造成超负荷问题,提出并设计了一前置式邮件过滤系统.该系统首先在路由器级上通过轻量级TCP指纹分析实现垃圾邮件检测和过滤,然后在邮件服务器上,通过IP地址行为判断进入服务器的邮件是否为垃圾邮件,以此来缓解或解决邮件服务器可能发生的过载问题.该设计具有计算简单、实现容易等特点.实验结果表明,这种前置式邮件过滤系统的可行性和有效性,是目前常规反垃圾邮件技术较好的补充.     

防火墙与入侵检测联动防御系统研究

防火墙与入侵检测技术分别被广泛应用于计算机网络安全领域,但各自存在不足之处。融合防火墙与入侵检测的联动防御系统,能有效提升防火墙的机动性和实时反应能力,同时也能增强入侵检测系统的阻断能力。     

解析媒体矩阵（Media Matrix）（五十七） 新网络音频传输技术Dante（6）—— Zeroconf协议（续3）

5 ARP的基本原理和用途 上期中讲述了一个网络设备是如何设定IP地址的,简单来说就是手动输入或者使用DHCP自动分配一个。但是网络设备若只具备IP地址,还并不能通信,因为IP地址只是一个名字,还不能说明这个设备的具体位置。而ARP（Address Resolution Protocol地址解析协议）的任务就是把网络中的IP地址对应上它的真实地址（也就是MAC地址）,这样其他网络设备就可以通过路由器找到目标地址了。下面简单阐述一下它的工作原理。