Linux中Netfilter/IPtables的应用研究 被引量：12

1

作者 胡安磊 周大水 李大兴 《计算机应用与软件》 CSCD 北大核心 2004年第10期56-57,66,共3页

Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfil... Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfilter/IPtables的应用。 展开更多

关键词 netfilter/iptables 网络地址转换 NAT 包过滤防火墙 数据包处理 数据包过滤 内核 功能框架

在线阅读 下载PDF 职称材料

Netfilter/iptables防火墙性能优化方案与实现 被引量：8

2

作者 朱立才 杨寿保 宋舜宏 《计算机工程与应用》 CSCD 北大核心 2006年第15期117-120,共4页

随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实... 随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现。测试结果表明这种方法能够有效提高防火墙的性能。 展开更多

关键词 netfilter/iptables 防火墙 规则集 性能优化

在线阅读 下载PDF 职称材料

基于LKM和Netfilter/iptables的信息监控实现 被引量：7

3

作者 张光华 张玉清 郑有才 《计算机工程》 CAS CSCD 北大核心 2005年第20期61-63,76,共4页

分析了LKM技术的内容和特点,基于Linux操作系统提供的防火墙管理工具Netfilter/iptables进行二次开发,实现信息监控,解决了信息监控中数据处理的效率问题,提高了系统的整体性能。

关键词 LKM netfilter/iptables 监控

在线阅读 下载PDF 职称材料

利用netfilter/iptables实现操作系统的伪装 被引量：1

4

作者 曹爱娟 刘宝旭 +1 位作者 阮伟军 许榕生 《计算机工程》 CAS CSCD 北大核心 2004年第11期21-22,109,共3页

黑客在攻击目标系统之前,扫描是必不可少的一个环节,通过扫描可以了解目标运行的操作系统、存在的漏洞等。为了有效防止黑客的扫描攻击,该文提出了利用netfilter/iptables技术实现操作系统的伪装。这种方法不需要修改TCP/IP协议栈,对内... 黑客在攻击目标系统之前,扫描是必不可少的一个环节,通过扫描可以了解目标运行的操作系统、存在的漏洞等。为了有效防止黑客的扫描攻击,该文提出了利用netfilter/iptables技术实现操作系统的伪装。这种方法不需要修改TCP/IP协议栈,对内核的影响很小,保证了系统运行的稳定性。通过为黑客提供虚假的信息,能够成功欺骗黑客使其攻击缺少针对性,从而,有效的保护了系统的安全性。 展开更多

关键词 伪装操作系统 netfilter iptables 欺骗

在线阅读 下载PDF 职称材料

利用Netfilter/iptables抗御SYN Flood攻击方法研究 被引量：2

5

作者 张登银 周杰生 《南京邮电大学学报（自然科学版）》 EI 2007年第1期56-59,共4页

SYN Flood攻击是目前最流行的DOS/DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter/iptab les的动态包过滤机制抗御SYN Flood攻击的原理,然后提出一种iptab les与入侵检测系统(IDS)的集成... SYN Flood攻击是目前最流行的DOS/DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter/iptab les的动态包过滤机制抗御SYN Flood攻击的原理,然后提出一种iptab les与入侵检测系统(IDS)的集成解决方案,采用文件作为数据传递的载体并通过shell脚本编程实现。试验结果表明,该方法可以有效抵御SYN Flood攻击。 展开更多

关键词 DOS DDOS SYN FLOOD netfilter/iptables

在线阅读 下载PDF 职称材料

Netfilter/Iptables框架下基于TCP滑动窗口的串行流量控制算法 被引量：6

6

作者 杨虎 张大方 +2 位作者 谢鲲 雷渊明 何施茗 《计算机工程与科学》 CSCD 北大核心 2009年第10期8-11,26,共5页

传统的基于流量整形的流量控制算法通常需要建立对应的队列模型,实施起来极为复杂,而且所有数据包都要进入整形队列,加大了网络延时。本文从TCP协议拥塞控制和数据包组包机制出发,提出了基于TCP滑动窗口的串行流量控制算法,通过改变TCP... 传统的基于流量整形的流量控制算法通常需要建立对应的队列模型,实施起来极为复杂,而且所有数据包都要进入整形队列,加大了网络延时。本文从TCP协议拥塞控制和数据包组包机制出发,提出了基于TCP滑动窗口的串行流量控制算法,通过改变TCP发送端窗口的大小来达到流量控制的目的。本文在Linux内核Netfilter/iptables框架中实现了该流量控制方法,在部署的网络环境中,比较了不同参数设置下的算法效果。与CBQ算法相比,该方法降低了数据包在队列中排队整形的延时。 展开更多

关键词 netfilter/iptable TCP滑动窗口 流量控制

在线阅读 下载PDF 职称材料

应用Netfilter/iptables构建甘肃地震信息网络安全防火墙系统 被引量：1

7

作者 郝臻 粱子斌 +2 位作者 郝柽 马占虎 李少华 《西北地震学报》 CSCD 北大核心 2005年第3期272-277,共6页

介绍了应用netfilter/iptables技术构建甘肃地震信息网络安全防火墙的技术方案和设计思想。较完整地给出了甘肃地震信息网的防火墙配置脚本,并对每个功能的实现策略作了详尽的解释。客观地分析了netfilter/iptables技术的优点和不足。

关键词 甘肃地震信息网 防火墙 包过滤 netfilter/iptables DMZ NAT

在线阅读 下载PDF 职称材料

基于Netfilter/iptables的IP地址隐藏技术研究

8

作者 摩西 卢选民 +1 位作者 单长 杨杰 《现代电子技术》 2011年第17期101-103,共3页

随着Internet的迅速发展,网络中因为IP地址信息泄漏而遭受的攻击日益严重。通过代理服务器来隐藏内部网络设备IP地址的传统方式,不仅影响数据传输速率,而且其本身也易成为攻击的目标。针对这一亟待解决的问题,基于Netfilter/iptables模... 随着Internet的迅速发展,网络中因为IP地址信息泄漏而遭受的攻击日益严重。通过代理服务器来隐藏内部网络设备IP地址的传统方式,不仅影响数据传输速率,而且其本身也易成为攻击的目标。针对这一亟待解决的问题,基于Netfilter/iptables模块和IP地址替换技术,在Linux环境下通过DNAT和SNAT,以及多线程系统调用的方式实现了静态IP和DHCP动态分配IP的地址信息隐藏。通过网络实验证明,达到了预期的目的。 展开更多

关键词 netfilter/iptables IP地址隐藏 DNAT/SNAT IP地址替换

在线阅读 下载PDF 职称材料

iptables防火墙的研究与实现 被引量：24

9

作者 董剑安 王永刚 吴秋峰 《计算机工程与应用》 CSCD 北大核心 2003年第17期161-163,176,共4页

防火墙作为网络安全技术的重要手段,已经成为使用最多的网络安全解决方案。该文通过研究基于Linux2.4新内核Netfilter框架的iptables包过滤防火墙,介绍了第三代Linux防火墙的一种安全实现。

关键词 LINUX netfilter iptables 包过滤 防火墙

在线阅读 下载PDF 职称材料

基于Netfilter的NAT技术及其应用 被引量：10

10

作者 乐德广 郭东辉 吴伯僖 《计算机工程》 CAS CSCD 北大核心 2004年第4期35-37,共3页

NAT技术是为了解决IPv4网络地址空间的不够而提出的一种过渡技术，并由于其简单、高效的特性而得到了广泛的应用。该文介绍了NAT技术及在Linux 2.4内核中基于Netfilter框架的NAT实现原理，并结合实验室的网络建设，给出其在实验室网络... NAT技术是为了解决IPv4网络地址空间的不够而提出的一种过渡技术，并由于其简单、高效的特性而得到了广泛的应用。该文介绍了NAT技术及在Linux 2.4内核中基于Netfilter框架的NAT实现原理，并结合实验室的网络建设，给出其在实验室网络建设中应用实例。 展开更多

关键词 网络地址译码器 netfilter iptables

在线阅读 下载PDF 职称材料

基于Netfilter框架的VPN网关的一体化设计 被引量：7

11

作者 曹利峰 陈性元 杜学绘 《计算机工程与应用》 CSCD 北大核心 2006年第2期128-130,137,共4页

随着Linux版本的升级,Linux下的防火墙技术也在不断地成熟。当前,基于netfilter框架的iptables防火墙,具有轨迹跟踪的功能,实现了基于状态检测的包过虑处理,成为近年来比较盛行的防火墙。该文就netfilter框架和轨迹跟踪技术进行了分析,... 随着Linux版本的升级,Linux下的防火墙技术也在不断地成熟。当前,基于netfilter框架的iptables防火墙,具有轨迹跟踪的功能,实现了基于状态检测的包过虑处理,成为近年来比较盛行的防火墙。该文就netfilter框架和轨迹跟踪技术进行了分析,同时,研究了网桥和防火墙的结合方式,提出了基于轨迹跟踪的VPN处理模式,最后,对支持路由和网桥两种模式的VPN处理且集成状态检测防火墙的安全网关进行了研究和一体化的设计。 展开更多

关键词 IP安全协议 虚拟专用网 iptables netfilter

在线阅读 下载PDF 职称材料

基于Netfilter的连接限制的研究与实现 被引量：6

12

作者 顾栋梁 周健 程克勤 《计算机工程》 CAS CSCD 北大核心 2009年第10期162-163,167,共3页

提出一种限制连接的方法。利用Netfilter/Iptables系统的扩展功能,创建一个可以对TCP和UDP连接数分别进行限制的Netfilter/Iptables模块。在该模块中,TCP连接限制算法利用了TCP连接的特性,而UDP连接限制算法利用了计时的方法。使用该模... 提出一种限制连接的方法。利用Netfilter/Iptables系统的扩展功能,创建一个可以对TCP和UDP连接数分别进行限制的Netfilter/Iptables模块。在该模块中,TCP连接限制算法利用了TCP连接的特性,而UDP连接限制算法利用了计时的方法。使用该模块可以方便有效地控制客户端的并发连接数。 展开更多

关键词 netfilter/iptables防火墙 连接限制 时间戳

在线阅读 下载PDF 职称材料

Linux内核防火墙Netfilter实现与应用研究 被引量：46

13

作者 姚晓宇 赵晨 《计算机工程》 CAS CSCD 北大核心 2003年第8期112-113,163,共3页

介绍了Linux内核防火墙的发展，对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析，通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法，对Netfilter框架下的防火墙高级功能扩展进... 介绍了Linux内核防火墙的发展，对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析，通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法，对Netfilter框架下的防火墙高级功能扩展进行了展望。 展开更多

关键词 防火墙 LINUX netfilter 内核模块

在线阅读 下载PDF 职称材料

在Linux下用Iptables建立防火墙的方法 被引量：7

14

作者 刘华 颜国正 丁国清 《计算机工程》 CAS CSCD 北大核心 2003年第10期129-131,共3页

介绍了在Linux操作系统下管理IP包的工具--iptables，详细介绍了iptables的用法，利用iptables建立功能强大的防火墙，并给出了具体的实例。

关键词 LINUX iptables 防火墙

在线阅读 下载PDF 职称材料

Linux内核Netfilter防火墙原理与设计 被引量：7

15

作者 孟晓景 井艳芳 张瑜 《山东科技大学学报（自然科学版）》 CAS 2004年第2期52-54,共3页

介绍Linux防火墙Netfilter系统的结构框架特点、工作原理及其在内核中的实现机制,并通过例子介绍如何编写自己的内核模块并将其镶嵌在Netfilter的架构中,以实现对防火墙功能的扩充。

关键词 防火墙 netfilter 包过滤

在线阅读 下载PDF 职称材料

基于Netfilter的灵巧网关的设计与实现 被引量：1

16

作者 宋舜宏 杨寿保 张焕杰 《计算机科学》 CSCD 北大核心 2004年第11期46-49,共4页

网络资源需要安全有效地使用与管理,为此本文提出以Linux操作系统中的netfilter/iptables框架为基础的对网络资源进行有效控制的方法,介绍如何设计并实现一个功能合理、性能稳定、扩展性好、方便管理、易于升级的灵巧网关。

关键词 netfilter/iptables LINUX操作系统 网络资源 升级 扩展性 网关 设计 功能 安全

在线阅读 下载PDF 职称材料

Netfilter功能框架及其在校园网中的应用 被引量：5

17

作者 刘建彪 杨寿保 《计算机应用》 CSCD 北大核心 2003年第2期105-107,共3页

讨论了Linux2.4内核的Netfilter功能框架,并对基于Netfilter框架的包过滤、网络地址转换(NAT)进行了讨论,最后给出了一个在校园网环境下用Netfilter实现的防火墙的具体实例。

关键词 netfilter功能框架 校园网 防火墙 包过滤 网络地址转换 数据包处理

在线阅读 下载PDF 职称材料

Linux内核Netfilter包过滤防火墙的设计与实现 被引量：4

18

作者 詹瑾 谢赞福 《科学技术与工程》 2010年第18期4525-4529,共5页

讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展... 讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴。 展开更多

关键词 防火墙 netfilter 数据包过滤 可扩展性

在线阅读 下载PDF 职称材料

Linux下基于Netfilter的包过滤算法 被引量：8

19

作者 刘云 《计算机工程》 CAS CSCD 北大核心 2009年第11期143-145,共3页

通过对Linux操作系统下Netfilter防火墙中包过滤技术的分析,发现Netfilter包过滤使用简单的线性分级算法,当防火墙需要匹配的规则越来越多时,防火墙的性能会急剧下降,造成系统瓶颈。因此,提出一种基于二叉树和Hash函数的包过滤算法B-H... 通过对Linux操作系统下Netfilter防火墙中包过滤技术的分析,发现Netfilter包过滤使用简单的线性分级算法,当防火墙需要匹配的规则越来越多时,防火墙的性能会急剧下降,造成系统瓶颈。因此,提出一种基于二叉树和Hash函数的包过滤算法B-H。通过测试证明,该算法在大量规则的情况下能够达到快速匹配,有效地提高了包过滤的性能。 展开更多

关键词 Linux操作系统 netfilter防火墙 包过滤 二叉树 HASH函数

在线阅读 下载PDF 职称材料

利用Linux系统防火墙框架Netfilter对BitTorrent限制的实现 被引量：1

20

作者 鹿凯宁 张晓虹 《电子测量技术》 2007年第8期117-119,共3页

BitTorrent是P2P类协议典型代表,国内目前很流行、使用人数很多。它使用动态端口,同时将本身的流量伪装成为HTTP流量。传统的网络级防火墙(包过滤)缺少对应用层(OSI模型的第7层)流量的分析,因此无法识别BitTorrent下载的流量。本文提出... BitTorrent是P2P类协议典型代表,国内目前很流行、使用人数很多。它使用动态端口,同时将本身的流量伪装成为HTTP流量。传统的网络级防火墙(包过滤)缺少对应用层(OSI模型的第7层)流量的分析,因此无法识别BitTorrent下载的流量。本文提出了一种基于Linux Netfilter连接跟踪机制的BitTorrent数据识别和控制的方法,可以根据应用层数据识别BT连接,并可以通过设置相应的过滤规则控制BT流量,从而提高网络性能,并通过实验进行验证。 展开更多

关键词 BitTorrent(BT) P2P 防火墙 Linux netfilter/iptables

在线阅读 下载PDF 职称材料