基于内部网络安全的防火墙的改进设计
| 1 引言 | 第1-11页 |
| ·问题说明 | 第6-11页 |
| ·什么是内部攻击? | 第6-7页 |
| ·攻击者能够做些什么? | 第7-8页 |
| ·扩展的安全策略 | 第8-10页 |
| ·问题的综述 | 第10-11页 |
| 2 扩展防火墙的分析和设计 | 第11-69页 |
| ·防火墙的扩展 | 第11-14页 |
| ·增强防火墙的安全性 | 第13-14页 |
| ·设计一个高级的包过滤器 | 第14页 |
| ·客户机,用户和应用程序的识别 | 第14-18页 |
| ·主机—ID | 第14-15页 |
| ·用户—ID | 第15页 |
| ·应用程序—ID | 第15-17页 |
| ·完整的识别令牌 | 第17-18页 |
| ·小结 | 第18页 |
| ·拦截IP—数据包和得到识别令牌 | 第18-24页 |
| ·把IP—数据包转向到Linux中的用户空间 | 第18-21页 |
| ·从Linux中得到识别令牌 | 第21-24页 |
| ·小结 | 第24页 |
| ·扩展IP—数据包的认证 | 第24-38页 |
| ·必要条件 | 第25页 |
| ·带密钥的哈希函数 | 第25-30页 |
| ·密钥管理 | 第30-34页 |
| ·伪随机比特生成器 | 第34-36页 |
| ·MAC和密钥管理的结合 | 第36-38页 |
| ·传输认证后的IP—数据包 | 第38-48页 |
| ·方法1:注入IP—可选项 | 第38-42页 |
| ·方法2:使用GRE封装IP—数据包 | 第42-45页 |
| ·方法3:利用TCP连接来封装IP—数据包 | 第45-47页 |
| ·小结 | 第47-48页 |
| ·扩展防火墙的规则和注入IP数据包 | 第48-58页 |
| ·扩展的防火墙规则 | 第48-55页 |
| ·注入IP—数据包 | 第55-57页 |
| ·小结 | 第57-58页 |
| ·认证守候程序的设计 | 第58-63页 |
| ·认证守候程序的初始化 | 第58-61页 |
| ·认证守候程序的主循环 | 第61-63页 |
| ·校验守候程序的设计 | 第63-69页 |
| ·初始化 | 第65页 |
| ·主循环 | 第65-69页 |
| 3 结束语 | 第69-71页 |
| 4 致谢 | 第71-72页 |
| 5 参考文献 | 第72-74页 |
