Netfilter/iptables防火墙性能优化方案与实现 被引量：8

1

作者 朱立才 杨寿保 宋舜宏 《计算机工程与应用》 CSCD 北大核心 2006年第15期117-120,共4页

随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实... 随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现。测试结果表明这种方法能够有效提高防火墙的性能。 展开更多

关键词 netfilter/iptables 防火墙 规则集 性能优化

在线阅读 下载PDF 职称材料

应用Netfilter/iptables构建甘肃地震信息网络安全防火墙系统 被引量：1

2

作者 郝臻 粱子斌 +2 位作者 郝柽 马占虎 李少华 《西北地震学报》 CSCD 北大核心 2005年第3期272-277,共6页

介绍了应用netfilter/iptables技术构建甘肃地震信息网络安全防火墙的技术方案和设计思想。较完整地给出了甘肃地震信息网的防火墙配置脚本,并对每个功能的实现策略作了详尽的解释。客观地分析了netfilter/iptables技术的优点和不足。

关键词 甘肃地震信息网 防火墙 包过滤 netfilter/iptables DMZ NAT

在线阅读 下载PDF 职称材料

iptables防火墙的研究与实现 被引量：24

3

作者 董剑安 王永刚 吴秋峰 《计算机工程与应用》 CSCD 北大核心 2003年第17期161-163,176,共4页

防火墙作为网络安全技术的重要手段,已经成为使用最多的网络安全解决方案。该文通过研究基于Linux2.4新内核Netfilter框架的iptables包过滤防火墙,介绍了第三代Linux防火墙的一种安全实现。

关键词 LINUX netfilter iptables 包过滤 防火墙

在线阅读 下载PDF 职称材料

Linux内核防火墙Netfilter实现与应用研究 被引量：46

4

作者 姚晓宇 赵晨 《计算机工程》 CAS CSCD 北大核心 2003年第8期112-113,163,共3页

介绍了Linux内核防火墙的发展，对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析，通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法，对Netfilter框架下的防火墙高级功能扩展进... 介绍了Linux内核防火墙的发展，对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析，通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法，对Netfilter框架下的防火墙高级功能扩展进行了展望。 展开更多

关键词 防火墙 LINUX netfilter 内核模块

在线阅读 下载PDF 职称材料

Netfilter框架下防火墙模型总体结构设计 被引量：7

5

作者 曹成 周健 +1 位作者 黄方剑 钱田芬 《计算机应用》 CSCD 北大核心 2007年第B06期261-263,共3页

由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理时的无政府状态,逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁。防火墙在保护网络安全方面起着重要的作用。在分析目前主流防火墙技术特征及其缺陷的基础上,... 由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理时的无政府状态,逐渐使暴露在因特网上主机的自身安全受到日益严重的安全威胁。防火墙在保护网络安全方面起着重要的作用。在分析目前主流防火墙技术特征及其缺陷的基础上,提出了一种基于Netfilter框架下防火墙模型结构,该模型可以较好解决现存的包过滤过滤机制和代理机制在效率和安全性方面的问题,提高Linux防火墙的可用性。 展开更多

关键词 防火墙 包过滤机制 netfilter 状态检测

在线阅读 下载PDF 职称材料

在Linux下用Iptables建立防火墙的方法 被引量：7

6

作者 刘华 颜国正 丁国清 《计算机工程》 CAS CSCD 北大核心 2003年第10期129-131,共3页

介绍了在Linux操作系统下管理IP包的工具--iptables，详细介绍了iptables的用法，利用iptables建立功能强大的防火墙，并给出了具体的实例。

关键词 LINUX iptables 防火墙

在线阅读 下载PDF 职称材料

Linux内核Netfilter防火墙原理与设计 被引量：7

7

作者 孟晓景 井艳芳 张瑜 《山东科技大学学报（自然科学版）》 CAS 2004年第2期52-54,共3页

介绍Linux防火墙Netfilter系统的结构框架特点、工作原理及其在内核中的实现机制,并通过例子介绍如何编写自己的内核模块并将其镶嵌在Netfilter的架构中,以实现对防火墙功能的扩充。

关键词 防火墙 netfilter 包过滤

在线阅读 下载PDF 职称材料

Linux内核Netfilter包过滤防火墙的设计与实现 被引量：4

8

作者 詹瑾 谢赞福 《科学技术与工程》 2010年第18期4525-4529,共5页

讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展... 讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴。 展开更多

关键词 防火墙 netfilter 数据包过滤 可扩展性

在线阅读 下载PDF 职称材料

利用Linux系统防火墙框架Netfilter对BitTorrent限制的实现 被引量：1

9

作者 鹿凯宁 张晓虹 《电子测量技术》 2007年第8期117-119,共3页

BitTorrent是P2P类协议典型代表,国内目前很流行、使用人数很多。它使用动态端口,同时将本身的流量伪装成为HTTP流量。传统的网络级防火墙(包过滤)缺少对应用层(OSI模型的第7层)流量的分析,因此无法识别BitTorrent下载的流量。本文提出... BitTorrent是P2P类协议典型代表,国内目前很流行、使用人数很多。它使用动态端口,同时将本身的流量伪装成为HTTP流量。传统的网络级防火墙(包过滤)缺少对应用层(OSI模型的第7层)流量的分析,因此无法识别BitTorrent下载的流量。本文提出了一种基于Linux Netfilter连接跟踪机制的BitTorrent数据识别和控制的方法,可以根据应用层数据识别BT连接,并可以通过设置相应的过滤规则控制BT流量,从而提高网络性能,并通过实验进行验证。 展开更多

关键词 BitTorrent(BT) P2P 防火墙 Linux netfilter/iptables

在线阅读 下载PDF 职称材料

基于Netfilter防火墙的研究与实现 被引量：1

10

作者 李俊 《西藏大学学报（社会科学版）》 CSSCI 2010年第5期66-69,共4页

文章介绍了防火墙的基本概念及其主要功能,分析了Linux内核防火墙Netfilter的构架、构建防火墙的工作原理,并给出具体实例。

关键词 netfilter 防火墙 内核模块

在线阅读 下载PDF 职称材料

Netfilter防火墙抗ARP攻击的防御特性设计 被引量：1

11

作者 徐亮 梁华庆 《科学技术与工程》 2009年第13期3889-3892,3900,共5页

Netfilter是Linux下的一个防火墙框架,具有很好的扩展性。在对ARP攻击原理和Netfilter防火墙工作原理进行分析的基础上,设计了基于Netfilter防火墙的抗ARP攻击的防御特性。该防御特性针对ARP欺骗攻击和ARP洪泛攻击分别采用了相应的防御... Netfilter是Linux下的一个防火墙框架,具有很好的扩展性。在对ARP攻击原理和Netfilter防火墙工作原理进行分析的基础上,设计了基于Netfilter防火墙的抗ARP攻击的防御特性。该防御特性针对ARP欺骗攻击和ARP洪泛攻击分别采用了相应的防御方案,成功地解决了ARP攻击造成的动态ARP表项被恶意篡改以及动态ARP表被打满而无法学习新的ARP表项的关键问题。 展开更多

关键词 网络安全 Linux netfilter 防火墙 ARP欺骗攻击 ARP洪泛攻击

在线阅读 下载PDF 职称材料

Linux中Netfilter/IPtables的应用研究 被引量：12

12

作者 胡安磊 周大水 李大兴 《计算机应用与软件》 CSCD 北大核心 2004年第10期56-57,66,共3页

Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfil... Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfilter/IPtables的应用。 展开更多

关键词 netfilter/iptables 网络地址转换 NAT 包过滤防火墙 数据包处理 数据包过滤 内核 功能框架

在线阅读 下载PDF 职称材料

基于LKM和Netfilter/iptables的信息监控实现 被引量：7

13

作者 张光华 张玉清 郑有才 《计算机工程》 CAS CSCD 北大核心 2005年第20期61-63,76,共4页

分析了LKM技术的内容和特点,基于Linux操作系统提供的防火墙管理工具Netfilter/iptables进行二次开发,实现信息监控,解决了信息监控中数据处理的效率问题,提高了系统的整体性能。

关键词 LKM netfilter/iptables 监控

在线阅读 下载PDF 职称材料

利用netfilter/iptables实现操作系统的伪装 被引量：1

14

作者 曹爱娟 刘宝旭 +1 位作者 阮伟军 许榕生 《计算机工程》 CAS CSCD 北大核心 2004年第11期21-22,109,共3页

黑客在攻击目标系统之前,扫描是必不可少的一个环节,通过扫描可以了解目标运行的操作系统、存在的漏洞等。为了有效防止黑客的扫描攻击,该文提出了利用netfilter/iptables技术实现操作系统的伪装。这种方法不需要修改TCP/IP协议栈,对内... 黑客在攻击目标系统之前,扫描是必不可少的一个环节,通过扫描可以了解目标运行的操作系统、存在的漏洞等。为了有效防止黑客的扫描攻击,该文提出了利用netfilter/iptables技术实现操作系统的伪装。这种方法不需要修改TCP/IP协议栈,对内核的影响很小,保证了系统运行的稳定性。通过为黑客提供虚假的信息,能够成功欺骗黑客使其攻击缺少针对性,从而,有效的保护了系统的安全性。 展开更多

关键词 伪装操作系统 netfilter iptables 欺骗

在线阅读 下载PDF 职称材料

利用Netfilter/iptables抗御SYN Flood攻击方法研究 被引量：2

15

作者 张登银 周杰生 《南京邮电大学学报（自然科学版）》 EI 2007年第1期56-59,共4页

SYN Flood攻击是目前最流行的DOS/DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter/iptab les的动态包过滤机制抗御SYN Flood攻击的原理,然后提出一种iptab les与入侵检测系统(IDS)的集成... SYN Flood攻击是目前最流行的DOS/DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter/iptab les的动态包过滤机制抗御SYN Flood攻击的原理,然后提出一种iptab les与入侵检测系统(IDS)的集成解决方案,采用文件作为数据传递的载体并通过shell脚本编程实现。试验结果表明,该方法可以有效抵御SYN Flood攻击。 展开更多

关键词 DOS DDOS SYN FLOOD netfilter/iptables

在线阅读 下载PDF 职称材料

Netfilter/Iptables框架下基于TCP滑动窗口的串行流量控制算法 被引量：6

16

作者 杨虎 张大方 +2 位作者 谢鲲 雷渊明 何施茗 《计算机工程与科学》 CSCD 北大核心 2009年第10期8-11,26,共5页

传统的基于流量整形的流量控制算法通常需要建立对应的队列模型,实施起来极为复杂,而且所有数据包都要进入整形队列,加大了网络延时。本文从TCP协议拥塞控制和数据包组包机制出发,提出了基于TCP滑动窗口的串行流量控制算法,通过改变TCP... 传统的基于流量整形的流量控制算法通常需要建立对应的队列模型,实施起来极为复杂,而且所有数据包都要进入整形队列,加大了网络延时。本文从TCP协议拥塞控制和数据包组包机制出发,提出了基于TCP滑动窗口的串行流量控制算法,通过改变TCP发送端窗口的大小来达到流量控制的目的。本文在Linux内核Netfilter/iptables框架中实现了该流量控制方法,在部署的网络环境中,比较了不同参数设置下的算法效果。与CBQ算法相比,该方法降低了数据包在队列中排队整形的延时。 展开更多

关键词 netfilter/iptable TCP滑动窗口 流量控制

在线阅读 下载PDF 职称材料

基于Netfilter/iptables的IP地址隐藏技术研究

17

作者 摩西 卢选民 +1 位作者 单长 杨杰 《现代电子技术》 2011年第17期101-103,共3页

随着Internet的迅速发展,网络中因为IP地址信息泄漏而遭受的攻击日益严重。通过代理服务器来隐藏内部网络设备IP地址的传统方式,不仅影响数据传输速率,而且其本身也易成为攻击的目标。针对这一亟待解决的问题,基于Netfilter/iptables模... 随着Internet的迅速发展,网络中因为IP地址信息泄漏而遭受的攻击日益严重。通过代理服务器来隐藏内部网络设备IP地址的传统方式,不仅影响数据传输速率,而且其本身也易成为攻击的目标。针对这一亟待解决的问题,基于Netfilter/iptables模块和IP地址替换技术,在Linux环境下通过DNAT和SNAT,以及多线程系统调用的方式实现了静态IP和DHCP动态分配IP的地址信息隐藏。通过网络实验证明,达到了预期的目的。 展开更多

关键词 netfilter/iptables IP地址隐藏 DNAT/SNAT IP地址替换

在线阅读 下载PDF 职称材料

具有入侵检测功能的防火墙设计 被引量：12

18

作者 谢洁锐 刘财兴 +1 位作者 肖德琴 黄忠民 《计算机应用研究》 CSCD 北大核心 2004年第7期91-92,98,共3页

单一功能的安全产品已经难以满足当前越来越复杂的安全挑战 ,总体发展趋势开始转向多合一的整合。基于Linux的防火墙Netfilter。

关键词 防火墙 入侵检测 netfilter 钩子函数 动态模块

在线阅读 下载PDF 职称材料

嵌入式Linux防火墙系统研究与实现 被引量：5

19

作者 文俊浩 姬楷 +1 位作者 高存志 郝建伟 《计算机工程与应用》 CSCD 北大核心 2007年第28期144-146,152,共4页

为了构建安全可靠的网络,同时降低使用防火墙的成本,对Linux2.4内核防火墙结构Netfilter的实现机制进行了深入的研究和分析,并利用该机制设计实现了一个嵌入式Linux防火墙系统,该防火墙实现完善了包过滤、URL过滤、NAT和日志等防火墙基... 为了构建安全可靠的网络,同时降低使用防火墙的成本,对Linux2.4内核防火墙结构Netfilter的实现机制进行了深入的研究和分析,并利用该机制设计实现了一个嵌入式Linux防火墙系统,该防火墙实现完善了包过滤、URL过滤、NAT和日志等防火墙基本功能,同时集成了非军事区(DMZ),为Internet和Intranet之间建立了缓冲地带,以保证Intranet的安全。此外,该防火墙系统还集成了状态检测技术,可在内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性,并提供友好的管理配置界面。 展开更多

关键词 MINILinux 防火墙 iptables NAT DMZ

在线阅读 下载PDF 职称材料

基于Linux的最新防火墙技术的研究 被引量：6

20

作者 唐宁 金连甫 陈平 《计算机应用研究》 CSCD 北大核心 2002年第12期76-78,共3页

Linux2.4内核下防火墙Iptables是以Netfilter为基础实现的。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。深入研究了开放代码Linux2.4.18内核下防火墙Iptables实现的关键部分Netfilter架构,从Netfilter与IP层相对关系... Linux2.4内核下防火墙Iptables是以Netfilter为基础实现的。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。深入研究了开放代码Linux2.4.18内核下防火墙Iptables实现的关键部分Netfilter架构,从Netfilter与IP层相对关系,到钩子和下挂函数的数据结构,注册和注销下挂函数的管理方法,如何启动钩子来检测IP包,全面剖析了Netfilter的实现细节。研究最终服务于软件研发,为自己的嵌入式防火墙产品的设计和开发提供一个新的设计思路,也为底层开发者利用Netfilter架构实现Linux内核下其它协议族的防火墙提供了便利。 展开更多

关键词 LINUX 防火墙 钩子 计算机网络 下挂函数

在线阅读 下载PDF 职称材料