基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

基于信任机制的网络防火墙状态检测模型

针对当前网络防火墙状态检测模型的网络安全置信度低,导致防火墙状态检测时间较长,服务器易受到攻击,检测准确率及防火墙安全性较低的问题,提出了基于信任机制的网络防火墙状态检测模型.分析防火墙安全性能,根据信任机制建立置信度,通过自适应阈值算法,判断网络是否存在攻击现象,并对数据包实施预处理,设置包过滤防火墙规则集,运用哈希...     

状态检测防火墙中几种协议的结构设计

介绍了防火墙的发展及各类防火墙的特点,分析了状态检测防火墙的工作原理,建立了状态表和规则表的数据结构,提出了一个基于状态检测的硬件防火墙中协议的整体框架设计。在考虑防火墙安全和速度性能的前提下,给出针对TCP,UDP,ICMP和ARP等TCP/IP协议栈中主要协议的状态检测的结构设计,采用TCP序列号检查、UDP虚连接、ICMP数据包检测引擎等办法保证网络的安全性和高效性。     

实时透明的状态检测防火墙的设计

防火墙是保障网络安全的核心设备。随着防火墙技术的发展,以包过滤和代理方式工作的防火墙已经不能满足网络安全的需要。本文设计了一个工作在双网卡PC机上的实时透明的状态检测防火墙,该防火墙基于透明网桥模式,建立在Linux的Netfilter的框架上,通过对TCP和UDP的各个状态进行实时记录和分析,维护一个在内存中的连接状态表,以实现实时的状态检测功能。     

基于Windows2000的NAT技术及状态检测防火墙的应用设计

介绍了 NAT和状态检测防火墙技术 ,通过一个实例 ,给出了在 Windows2 0 0 0 server环境下 NAT及状态检测防火墙技术的应用实现方法     

实时透明的状态检测防火墙的设计

防火墙是保障网络安全的核心设备.随着防火墙技术的发展,以包过滤和代理方式工作的防火墙已经不能满足网络安全的需要.本文设计了一个工作在双网卡PC机上的实时透明的状态检测防火墙,该防火墙基于透明网桥模式,建立在Linux的Netfilter的框架上,通过对TCP和UDP的各个状态进行实时记录和分析,维护一个在内存中的连接状态表,以实现实时的状态检测功能.     

基于divert socket的应用层防火墙

针对包过滤防火墙和状态检测防火墙的安全控制层次较低、控制能力有限、不能依据数据包内容进行控制的缺点,介绍一种在FreeBSD的IPFW防火墙之上,使用转发套接字建立进程级应用层防火墙的技术.通过这种技术建立的应用层防火墙既保留包过滤防火墙和状态检测防火墙对用户透明的优点,又具有针对特定应用进行访问控制的能力.     

应用层协议分析在状态检测防火墙中的应用

阐述了状态检测技术的实现,分析了FTP、Web和邮件服务的安全需求,在此基础上把应用层协议分析技术应用到状态检测防火墙中,给出了在Linux系统上的实现方案,使状态检测防火墙能更有效地进行应用层的检测和控制。     

一种基于状态检测的嵌入式防火墙

针对中小型网络用户的实际状况,采用IQ80310和Linux 2.6 内核为开发平台,设计开发一种基于状态检测机制的防火墙.对Linux 2.6内核中状态检测机制进行了研究,并以TCP协议为例,详细分析了其实现原理和工作流程.所设计的嵌入式状态检测防火墙具备防火墙的主要功能,并能防范碎片攻击和DoS攻击,具有安全、可靠、成本低廉等设计特点,具有较高的推广应用价值.     

基于状态检测的防火墙系统设计

本文从状态检测防火墙系统的整体框架入手,介绍了该系统功能设计和结构设计以及各功能模块完成的任务。另外,介绍了本系统设计的TCP包和UDP包状态检测技术、SYN攻击和DoS攻击防御等关键技术,从而使得防火墙起到关键的防护作用。     

一种通用入侵检测与防火墙联动系统

设计了一种通用的入侵检测与防火墙联动系统,介绍了系统的整体结构及各模块的详细设计,并在此基础上,利用插件技术,实现了入侵检测系统与iptables防火墙的联动。该系统不但能有效的阻断攻击,而且具有良好的通用性和可扩展性。     

内置入侵检测功能的防火墙设计

给出了内置入侵检测功能的防火墙设计方案,将入侵检测功能与用户设置安全策略集成一体。即使安全策略允许所有通信流量传输,入侵检测功能仍具备检测和拦截极具攻击性的行为和企图,增强了防火墙的功能,为网络防卫带来了灵活性。     

基于SNMP的主动入侵检测系统的设计与实现

针对当前入侵检测系统中响应的被动性、滞后性问题,结合网络管理思想和包过滤防火墙技术,提出了一种分布式主动响应的入侵检测系统（SNMP_AIDS）的结构并给出了该系统的体系结构图。然后设计了系统中的3大部件：入侵检测系统（intrusion detection system,IDS）群集、中央事件管理器、防火墙代理模堤,并对这3大部件的功能和特点进行了分析。最后,在对系统进行详细设计之后,又给出了系统中3大部件的原型实现。该系统经过实验证明了其主动响应能力,并能向防火墙发出简单网络管理协议（simple network management protocol,SNMP）报文。     

嵌入内核式动态防火墙的设计与实现

提出一种新型的可嵌入内核的动态防火墙模型，描述了一个基于该模型的“安拓”防火墙系统的组成结构和实现机制，讨论了该系统实现中的关键技术及其解决方法，包括：状态检测技术、动态规则技术，可动态加载内核模块技术及自身安全保护设计等，归纳了该系统的特点及应用前景，并总结了今后的研究方向。     

基于DFSQL实现分布式防火墙策略异常检测与分析

分布式防火墙在保护网络安全方面发挥着重要作用,但是由于分布式防火墙规则之间的异常,给网络带来了安全隐患.理解并且分析分布式防火墙的功能及存在的异常是必要的但又困难的.因此,文章中引入DFSQL分布式防火墙策略异常查询结构性描述语言,并给出一种适用于分布式防火墙规则异常检测算法,通过仿真实验证明算法的正确性和执行效率.     

基于网络处理器的防火墙优化设计与研究

提出了基于网络处理器的状态检测型防火墙设计方案,并针对IXP2400的硬件结构,对访问控制列表和状态会话表的存储结构及表项查找等关键技术进行了优化,发挥了IXP2400内部各硬件单元的优点,系统达到线速处理的能力,使其性能得到了较大的提交。     

网络安全框架Netfilter在LinuX中的实现

Netfilter是Linux最新版本中的网络防火墙实现，是对以前Linux防火墙版本的完全替换。Netfilter完成了包括包过滤、地址翻译、状态检测、数据包操作等重要功能，是一个结构合理、功能强大、扩展性强的网络安全框架，在研究防火墙的原理、实现上具有重要的借鉴意义。分析和讨论了Linux操作系统的网络安全框架Netfilter的原理和实现。     

一种网络入侵预防系统NIPS的设计

入侵预防系统是近两年新兴起的一种网络安全技术。它比防火墙和入侵检测系统具有更高的主动性,具备一定程度的智能性,能够保护计算机网络系统免受未知类型的攻击。本文介绍了一种NIPS系统的设计与实现。本系统主要考虑了两大基础检测技术的实现:深度内容搜索技术和行为分析技术,这两项技术实现了IPS的基础同时也是主体的检测功能,其它检测技术的实现大多要建立在这两项技术基础之上。