防火墙技术综述

关键词： 电气 防火墙 线路 火灾

防火墙技术综述（精选八篇）

防火墙技术综述 篇1

1 森林火灾的特点及扑救技术

1.1 森林火灾的特点。

一般来说, 森林火灾在发生的时候并没有先兆, 其发生的速度较快, 而且来势凶猛, 自然造成的危害也相对较大, 而且森林火灾通常都是发生在比较偏远的地区, 从而会给救援带来一定的难度, 如果救援不及时, 所造成的经济损失以及伤亡将会相当的严重。在对森林火灾进行灭火的过程中, 往往会受到自然条件的影响, 地形因素以及风速等都会对救援工作造成阻碍, 从而使得救援工作的开展效果并不理想。另外, 在进行森林防火和灭火的过程中, 可能会由于森林火势的强劲, 而造成严重的人员伤亡, 这种情况并不是不会发生, 而在地形较为复杂以及火势较为凶猛的情况下, 人员所面临的危险将会增大, 人员的伤亡情况会进一步的提升。从上述这些方面来说, 可以总结出森林火灾的特点, 其一是具有火势凶猛的特点, 其二就发生突然的特点在, 其三就是难以控制的特点。针对这些森林火灾所具有的特点, 在对其进行防治的时候, 就要依据特点来采取相对应的措施, 从而使得救援工作可以顺利的开展。

1.2 森林火灾的扑救技术。

森林火灾的扑救技术按其形式分可分为直接扑灭和隔离带灭火, 直接扑灭指扑火人员利用水、土等材料对火势进行控制、熄灭。隔离带灭火主要应用于猛烈的地表火、树冠火的救援中, 通过劈开火路, 阻断火源等方式达到控制火势的目的。航空技术是森林火灾扑救的高科技技术, 其与计算机等技术相互结合, 在森林救火中发挥着巨大作用。

1.3 航空技术在防火、灭火中应用的优势。

航空技术具有不受地形影响、视野开阔、机动灵活等优势, 在救火救灾过程中, 这些优势更加突出的表现出来。第一, 航空消防能够提高运输水、火灭火剂的效率, 且喷洒速度快、面积广, 能够迅速的控制火情, 降低火热。第二, 航空技术的应用可以使救火人员远离火线作业, 减少了救灾人员的伤亡。第三, 航空技术的应用, 可通过空中道路将消防人员运输到指定位置, 加快了灭火速度、提高了灭火效率。第四, 航空技术可依靠居高临下的优势, 有效拦截火头, 提高灭火效率。第五, 航空技术可将灭火人员、灭火材料等运输到较远距离, 且速度较快, 不受地形等条件限制。第六, 航空技术的应用, 可有效监控火场, 达到彻底灭火的目的。

2 航空技术在森林防火中的应用

由于森林火灾具有来势凶猛、突然以及难以控制的特点, 这就使得航空技术的应用优势得以发挥, 可以说, 目前航空技术是森林防火以及灭火中的领先技术, 这一技术在森林防火中的应用, 使得火期的巡逻周期逐渐的密集, 其与计算机以及信息化技术的结合, 使得火灾预测的能力得到提升, 这就对有效的防止火灾的发生提供了有利的支持。同时, 应用航空技术, 也可以使得护林的效率得到有效的提升, 航空技术可以利用其所具备的高空优势, 避开地形复杂因素的影响, 可以将森林的情况全部掌握, 这样可以有效的提升监管的力度, 可以加大对森林重点火灾区域的监督, 从而能够降低森林火灾的发生几率。

另外, 航空技术应用先进的跟踪定位系统, 可以准确的找出火灾的发生地点以及火灾的具体情况, 从而可以做出相对应的反应, 及时的采取有效的措施对火灾进行控制, 防止火灾的蔓延, 有效的减少了因森林火灾而造成的经济损失和人员伤亡。

3 航空技术在森林灭火中的应用

在目前的森林灭火中, 航空技术的应用较为普遍, 这主要是由航空技术的应用优势所决定的。航空技术自设具有高空观察的优势, 其能够在一定的高度范围内, 对森林进行全方位的监控, 从而可以勘察出火灾的放生场地, 准确的对火灾各个方面的信息进行有效的收集, 然后传送到救援单位, 从而使得救援单位可以及时的制定出相对应的救援方案, 以防止火灾的蔓延。而具体的做法就是:首先, 航空技术利用高空优势对森林火灾发生的地点进行准确的定位, 然后对森林火灾现场的地形条件进行分析, 选择出一条最佳的救援道路, 这样可以使得救援人员可以轻松而且快速的在第一时间赶往救援现场, 以达到快速控制森林火灾的目的。另外, 航空技术也可以为救援人员指明周边的环境, 使得救援人员可以充分的利用周边的河流以及道路等条件来开展森林火灾救援工作, 从而可以更好的控制住灾情。也可以使得救援人员可以避开陡峭的山路等危险的道路, 保障了救援人员的生命安全。

其次, 航空技术能够直接进行森林灭火行动。也就是说, 航空技术能够将水陆两部分的作用结合在一起, 利用水陆两用飞机, 在地面装载大量的水, 然后在火场区域进行洒水灭火处理, 这样会使得灭火的速度提升, 而且具有的灭火效果也较为突出。一般来说, 飞机上的吊桶进行注水的时间以及灭火的时间通常会在2min的范围左右, 不会出现时间过长的情况, 这样就可以有效的缩减灭火的工序, 而且会使得灭火的效率提升, 灭火的面积也会加大, 从而可以更好的控制灾情。

最后, 利用机群化灭火, 对于较为猛烈的地火、树冠火等险恶火灾, 利用多架飞机联合组织灭火, 其效率高, 还能有效的保障地面人员安全, 降低了森林火灾损失, 同时降低了地面人员面临的烧伤、烫伤风险。

一般来说, 航空科技能够构建准确、完整的地理信息, 形成真实、客观、清晰的地面扑火保护地形图, 指挥地面人员进行森林火灾救援。一方面, 以图扑火提高了山火扑救的效率, 避免了灭火过程中走弯路, 特别是航空技术提供的山间小路位置、山火走向等, 为森林火灾的扑灭提供了科学支持。另一方面, 利用航空技术进行地面扑火指挥, 在危险时刻, 可指引地面人员安全撤离, 降低了灭火过程中的人员伤亡情况。

结束语

航天技术应用在森林的防火、灭火中, 效率高、效果好, 值得推广, 目前, 面临的主要问题是森林防火区域的广泛性与灭火飞机配备数量的有限性, 加之航天技术的高成本, 要实现航天技术普遍的应用到我国的森林防火、灭火中, 还需要一定的时间和航天技术的进一步发展, 降低其成本、提高其效益、扩展其使用范围, 才能使航天科技在任何情况下都能很好的承担防火、灭火的重责。

参考文献

[1]森林灭火水枪在哈研制成功[J].林业劳动安全, 2010 (2) .

[2]自引式森林灭火弹研制成功[J].消防技术与产品信息, 2012 (12) .

[3]文东新.美国森林灭火准则[J].世界林业研究, 2011 (1) .

应用层防火墙专利技术综述 篇2

【关键词】应用识别 防火墙 端口 DPI DFI 机器学习

一、引言

随着互联网技术的发展，网络应用越来越丰富，用户对网络安全关注的焦点已经开始关注如何精确的识别出每个应用、禁用有安全问题的应用、保证合法有效的应用正常使用、防止网络应用的端口盗用等问题。因此，应用层防火墙应运而生。

二、全球范围的专利申请状况

通过检索获得129件国内外专利申请，通过分析可知，在2010年之前，应用层防火墙技术专利的申请量较少，主要是因为下一代防火墙的定义由著名研究机构Gartner在2009年才提出来。在2010年，虽有少量这方面的申请，但是数量还是较少，也即应用层防火墙技术还处在初级阶段。直到2011年，申请数量才明显增加，并且此后逐年增加，2014年和2015年的申请量在数量上有所降低，但由于2014年和2015年的申请并未公开完全，因此不能统计完全，相信随着下一代防火墙技术的发展，2014年和2015年涉及应用层防火墙技术的专利申请量相对于2013年仍会继续增长。

三、主要技术分支和申请量

纵观检索获得的129篇专利申请，可以将其大致可分为4个技术分支：基于端口的应用识别、基于DPI的应用识别和基于DFI的应用识别、基于机器学习的应用识别。

同时，在2010-2015年期间，各个分支的发展程度也不一样，为了获取将来可能成为应用层防火墙技术的研究重点的分支，本文对各个分支的年度申请数量也进行了分析，如图1所示。

从图1可知：（1）基于端口的应用识别发展呈现增长趋势，但每一年的申请量都有限，也即虽然该技术的发展整体呈增长趋势，但其已经不再适用于网络应用越来越多的现代网络；（2）基于DPI的应用识别的发展整体呈上升趋势，可见，DPI技术不仅对数据包得TP层进行检查，还能对数据包内容进行检查，每个应用协议都有自己的数据特征，充分理解各种应用协议的变化规律和流程，就可以准确快速地识别出应用协议，从而达到精确识别和控制应用的效果，满足了应用层防护墙的需求；（3）基于DFI的应用识别的发展整体不存在显著的规律性，主要由于数据流特征不明显，应用协议多变的应用很难通过基于DFI的应用识别进行识别，因此很难满足应用层防火墙的需求；（4）基于机器学习的应用识别的发展整体也呈现增长趋势，并且申请量几乎已经占到了所有专利申请量的一半，可以看出主动防御学习将成为未来应用层防火墙的发展趋势。

四、结束语

电线电缆防火设计综述 篇3

1 各种防火电缆中材料的性能

电缆的防火性能由原材料的物理、化学性能决定。易燃、易老化、燃烧后释放有毒烟雾等问题是电缆材料存在的主要问题。在电线电缆选型与设计时应根据具体的防火等级和要求, 来选择阻燃、不燃或耐火等级的材料。表1是各种电缆常用的绝缘和护套材料。其中, 聚氯乙烯和聚乙烯材料制成的各类电缆最高允许温度为70℃和80℃, 温度超过这一限制, 会加速电缆的老化, 有导致击穿短路的风险。燃烧时也会产生大量的烟雾和毒性气体。近年来, 一种低烟无卤阻燃的聚烯烃电缆料在电缆行业得到了大量应用, 通过特殊配方或采用辐照交联的方式, 其最高耐温等级可到105℃, 在火焰中具有阻燃、不延燃, 不释放有毒的卤素气体, 低烟等特点, 可适用于有阻燃要求的多数常规电缆应用。表格中还有一类是氟塑料, 它们具有耐高温的特性, 几乎不燃, 但在高温火焰中会释放剧毒气体。因此对它的使用存在一些争议。在美国氟塑料电缆有最大量的应用, 它几乎是大楼里垂直布线电缆的唯一选择。而在欧洲对它的使用就很有限。

2 防火电缆的选用

2.1 阻燃电线电缆

《民用建筑电线电缆防火设计规程》明确规定“当电线电缆成柬敷设时, 应采用阻燃电线电缆”。因此, 要求设计人员在进行电线电缆选择时应首先了解“阻燃”概念, 对规程规定的阻燃电线电缆等级和型号等作出详细了解。

阻燃 (flame retardant) 电线电缆, 指难以着火并具有阻止或延缓火焰蔓延能力的电线电缆。在一定的实验条件下能够将电线电缆的烧损区限制在2.5m的范围内, 通常又可按等级分为A、B、C、D四种, 具体要求详见表2。通常还要对阻燃电线电缆进行燃烧时的卤素释放量和烟密度的测试, 要求见表3。

试验容量是指被测电缆试样中非金属材料的最小体积, 以L/m为单位。根据表1, 在同一敷设通道时, A级阻燃电线电缆非金属材料的总体积大于7L/m, 试验通过较难, 对电缆的设计和所用材料的阻燃性能要求最高。B、C、D阻燃电缆不是不燃电缆, 只是在一定的条件下能阻止燃烧的继续, 当突破条件的限制, 阻燃就不再可能。

烟密度方面, 按照标准细化规定, 无卤低烟电缆最小透光率≥80%为I级、≥60%为II级、≥20%为III级、<20%为IV级。I级、II级为低烟无卤型, III级和IV级为非低烟无卤型。

通常, 在地铁、隧道、船舶以及对防火要求较高的建筑物和重要的公共场所, 应采用IA或IB级低烟无卤阻燃电缆, 其它一般场所可采用IIA或IIB级低烟无卤阻燃电缆。由于低烟低卤阻燃电缆燃烧时有一定量的腐蚀性气体放出, 最终将被低烟无卤阻燃电缆代替。

2.2 耐火电线电缆

《民用建筑电线电缆防火设计规程》对于耐火电线电缆的选用也做出强制性规定“在外部火势作用一定时间内需保持线路完整性、维持通电的场所, 其线路应采用耐火电线电缆或矿物绝缘电缆。”

耐火 (fire retardant) 电线电缆指在规定温度和时间的火焰燃烧下仍能保持线路完整性的电线电缆。耐火试验要求详见表4。

从上表中可以看出, 耐火电缆并不代表可以在火中长时间使用, 只是能维持一段时间的火中通电。在耐火电缆的选用时, 要根据使用场所的重要性和火灾造成的危害程度。比较重要的场合如建筑中的消防设备在发生火灾时往往需要继续工作, 应选择耐火A类, 其他应用如公用设施、高层建筑等可选用B类。

耐火电缆的结构组成:导体-云母带-阻燃内衬层-阻燃护套。在特别重要的应用场合, 目前矿物绝缘耐火电缆仍然是最好的选择。它由无机材料组成, 包括铜导体、矿物绝缘和铜护套, 具有不燃、无烟、耐火等特性, 主要用于对安全要求较高的区域或危险区域中, 如特殊消防系统等。由于生产工艺的原因, 矿物绝缘电缆的连续长度有限, 弯曲半径也较大, 给敷设造成了难度。最近有厂家开发出了一种新型耐火电缆, 即在铜导体上绕包云母带等无机耐火材料作为绝缘, 然后采用连续焊接铜管轧纹作为外护套, 克服了以上不足。不过云母带的耐温等级仍然不如矿物绝缘。

3 合理进行配电线路敷设, 防止电缆着火

建筑物配电线路的敷设很容易引起火灾, 因此, 为防止低压配电线路的电气火灾, 应尽量减少线路故障, 并需要在线路敷设时进行合理的设计。

(1) 封堵。封堵是将电缆穿越处的小缝隙采用防火堵料进行堵塞, 从而预防电缆着火延燃。高层或超高层民用建筑的电缆竖井比较长, 发生火灾时往往成为通风道, 在设计时应用与建筑物构建耐火等级相同的材料将电气线路孔洞的缝隙进行严密封堵。此外, 需要封堵的地方还包括电缆箱和电气盘箱柜的连接处、隔墙及楼板的空洞等。封堵时应尽量采用渗透性强、发泡时胀力大, 密封性能和防水作用好, 而且可拆性好的材料, 方便日后增补。对于电缆敷设较为密集的地方, 可以采用软堵料封堵, 以保证封堵的严密性。电缆防火门应长期关闭, 电缆防火板和沟盖板出的缝隙应严密封堵。防火封堵常常用钢筋作为骨架, 以保证机械的足够强度, 防止电缆着火延燃。

(2) 分隔。采用耐火材料设计防火隔墙, 将长电缆隧道和电缆沟道进行小区段分割, 尽量缩小着火区间。为了便于电缆的更换, 防火隔墙设计时应做到简单易拆。电缆防火墙的厚度尽量不小于240mm, 并比电缆支架宽100mm以上, 以免火势经线路通道窜入临近的防火分区导致火势蔓延。

(3) 涂层。配电线路选用易燃绝缘材料电缆时, 应将易燃线路完全封闭在耐火电线槽内, 外壳应涂刷防火涂料, 避免电缆着火后延燃。防火阻燃带施工方便、不易脱落、适应性强、价格便宜, 其性能与防火涂料相似。在进入柜体的电缆至终端头部分, 在隔火墙两侧2~3m区域内将所有电缆涂刷三遍防火涂料或包防火阻燃带, 组成综合防火分隔措施。防火涂料的阻火效果与涂层厚度和可燃质有关, 因此, 防火涂料的使用应与隔、堵等防火措施配合起来, 才能显示它的优越性。

(4) 分流。大型变电所、降压站、中央控制室以及大型电缆隧道的电缆设计, 应多用电缆进出口。对电缆敷设密集的部位应考虑进行分流改造, 建立双通道或多通道, 将电缆分散布置, 排列有序, 保持间距。

4 结语

要做好电线电缆的防火工作, 设计人员必须按照规程的规定, 熟悉各种防火电缆的性能。按照使用场合的不同, 选用不同的电缆, 并做到对配电线路进行合理敷设, 尽最大可能降低或防止电线电缆火灾危险的发生。在火灾发生时, 确保电线电缆不助长火势, 重要的线路能继续工作一段时间。

摘要：随着火灾事故的频繁发生, 人们不断加深对电线电缆火灾危险性的认识, 对电线电缆防火性能的要求也越来越高。要做好电线电缆的防火工作, 设计人员必须按照规程的规定, 熟悉各种防火电缆的性能。按照使用场合的不同, 选用不同的电缆, 并做到对配电线路进行合理敷设, 尽最大可能降低或防止电线电缆火灾危险的发生。

关键词：电线电缆,防火,设计

参考文献

[1]赵华利, 王伯涛, 戴殿峰.防火电线电缆的分类特性及试验方法[J].消防科学与技术, 2005, 24 (2) :220-223.

[2]林晓莉, 管崇生, 邱敏敏.电线电缆的防火对策[J].消防技术与产品信息, 2008 (8) :29-32.

[3]李云浩, 沈金波.我国电线电缆防火封堵现状[J].消防技术与产品信息, 2011 (5) :52-53.

[4]毛凯.电线电缆火灾及阻燃处理探析[C].中国消防协会电气防火专业委员会学术论文集, 2006:103-106.

[5]杜毅威.阻燃低烟无卤电线电缆在建筑工程中的应用[J].建筑电气, 2010, 29 (6) :25-28.

防火墙技术综述 篇4

“九重之台, 起于累土”。今天, 当我们欣喜地看到从老虎口到红水河百里生态长廊已成;看到在平凉、定西原本光秃秃的一道道山峁上, 层层梯田里, 风吹绿浪乍起;看到甘南高原具有水源涵养功能的沼泽化草原水草丰茂;看到陇东南地区森林多样性日渐丰富时, 却不知在全省绿色可覆盖面积不断增加, 生态效益不断提升的背后, 是一代代陇原儿女怀揣着绿色梦, 多少年如一日坚持不懈的努力。

地处黄土高原、蒙新高原、青藏高原交汇地带的甘肃省, 是全国重要的生态屏障、经济通道和战略走廊。全省土地总面积42.58万平方公里, 其中水土流失面积28.13万平方公里, 占总土地面积的66%, 每年输入黄河、长江的泥沙高达5.5亿吨。严重的水土流失, 造成土壤瘠薄, 肥力低下, 耕地减少, 林草植被破坏, 水源涵养能力锐减, 生产生活条件恶化, 自然灾害频繁, 引起江河下游河床抬高, 河道淤塞, 防洪压力加大, 成为制约全省经济社会可持续发展的主要因素。

面对恶劣的生态环境, 历届省委、省政府十分重视水土保持工作, 在水利部等国家有关部委的大力支持下, 以实施国家水土保持重点工程为契机, 以小流域综合治理为主线, 以梯田建设为重点, 强化监督执法, 规范监督管理, 治理水土流失。

以梯田为基石 坡耕地实现“双丰收”

2013年, 天水市秦州区、陇南市西和县将建成的4600亩高标准梯田进行了土地流转, 由企业和大户进行承包开发, 实行集约化经营, 发展经济林果和种薯繁育, 为农民增收和现代农业发展创出了一条新路, 实现了水土保持工程由综合治理到综合开发的转变。

甘肃常年干旱少雨, 自然灾害频繁, 是全国水土流失最严重的省份之一, 也是全国典型的旱作农业区。全省86个县市区中, 有67个属于旱作农业区, 根据甘肃省第二次土地调查成果, 全省有耕地8110万亩, 其中山旱地5986万亩, 占总耕地面积的70%以上。而梯田建设是旱作农业区一项重要的水土保持措施, 是改善农业生产条件的革命性工程。

从1964年开始, 山贫野瘠的庄浪县历时40余年坚持不懈兴修梯田, 走生态梯田综合治理路子, 在全国率先实现了梯田化, 于1998年被水利部命名为“中国梯田化模范县”。之后, 我省大力弘扬“庄浪精神”, 全力推进梯田化建设。

2009年, 甘肃省委1号文件围绕“稳粮、增收、强基础、重民生”这一核心要求, 确定用4年时间, 组织实施新增500万亩梯田建设工程, 每年以100多万亩的速度建设高产稳产梯田, 初步改变了旱作农业区粮食产量低而不稳的被动局面, 较大幅度提高了土地产出率和农业比较效益。省水利厅按照省委的统一部署, 牵头编制了《甘肃省梯田建设专项规划》, 规划整合水利、发改、国土、扶贫、农发部门的梯田建设任务, 2009年~2012年在适宜大规模兴修梯田的38个重点县新修梯田500万亩。为了加强项目管理, 提高工程质量, 省水利厅牵头制定了《甘肃省梯田建设验收办法》。2010年, 国家发展改革委、水利部启动实施了全国坡耕地水土流失综合治理试点工程, 我省梯田建设速度明显加快, 使农业综合生产能力明显提升。

经过3年多的努力, 到2012年5月底, 38个梯田建设重点县共新修梯田505万亩, 提前半年完成了省委、省政府确定的目标任务。2012年省第十二次党代会和省现代农业发展协调推进领导小组第一次会议确定, 用五年时间新增梯田750万亩, 以确保粮食总产量稳定在220亿斤以上, 农民人均纯收入翻一番, 力争超过8000元。据此, 省水利厅牵头编制了《甘肃省梯田建设工程2012-2016年实施方案》, 确定从2012后半年到2016年, 在全省9个市 (州) 的47个县新修梯田750万亩, 截至2014年5月, 该工程已完成梯田建设任务302万亩。

梯田建设工程的实施, 使坡耕地水土流失得到有效治理, 改善了旱作农业区生产条件和区域生态环境, 减轻了水旱灾害, 为促进粮食增产、农民增收打下了坚实基础, 促进了农业特色产业发展, 为旱作农业技术和农机具的推广运用创造了条件, 提高了农业耕作效率, 实现了劳动力的有效转移。

2013年全省梯田粮食播种面积达2086万亩, 其中种植小麦620万亩, 地膜玉米701万亩, 马铃薯610万亩, 小杂粮155万亩。全省依托梯田建设发展经济林果面积360万亩, 中药材147万亩。在基础条件相对优越地区, 利用梯田发展设施农业、高原夏菜、饲草基地等198万亩。

多年来, 持续的高标准梯田化建设让黄土地发生了翻天覆地的变化。原来跑水、跑土、跑肥的“三跑田”变成了保水、保土、保肥的“三保田”;靠天吃饭的坡耕地, 平均每亩增产玉米300千克, 马铃薯800千克;粗放型经营的农业生产方式向集约化经营发展, 形成了梯田与马铃薯、经济林果、中药材等多种产业模式, 发展的360多万亩经济林果面积产值40多亿元;山区传统的农业生产方式逐渐被机械化作业、现代农业、设施农业等先进生产力取代, 专业合作社、家庭农场、股份合作制等新的劳动关系逐步建立;种田果腹的日子已经过去, 农产品生产、加工、储藏、营销等产业链条不断延伸, 大量农村劳动力实现转移和当地就业, 农民的工资性收入不断增长。

据统计, 500万亩梯田建设项目区农业机械总动力每年增长11%, 2013年47个重点县区农业机械化水平达到80%以上, 转移劳动力470多万人, 创劳务收入180亿元。农民人均纯收入由2008年的1910元提高到了2011年的3313元, 年均增长20%, 比全省平均水平高7个百分点。

我省每年输入长江、黄河的泥沙主要来源于大量的坡耕地。坡耕地成为制约山区经济社会发展的重要瓶颈和引发旱涝灾害的重要隐患。通过梯田工程建设, 各项治理措施合理配置, 组成衔接紧密、布局合理、功能完善、景观优美的综合防治体系, 有效提高了降雨拦蓄能力, 减少了水土流失, 涵养了水源, 促进了防灾减灾。基本实现“水不下山、泥不出沟”, 是有限的水资源得到了就地拦蓄利用, 提高了水土资源的利用率。试验结果表明, 梯田与坡耕地相比, 每亩增加拦蓄降水40立方米~70立方米, 减少土壤流失4吨~10吨。

以小流域为单元 多管齐下提效益

近年来, 临夏州东乡县布楞沟小流域按照当地产业发展方向, 在改善农业生产条件的基础上, 全面实施坡面生物措施和沟道防治工程, 林草植被面积不断扩大, 入库泥沙明显减少, 有效地提升了综合治理效益。这只是我省小流域综合治理的一个缩影。

经过多年来一线实践的积累, 我省在防治水土流失方面已经取得了以小流域为单元, 山、水、田、林、路、村统一规划综合治理的成功经验。

根据小流域自然条件和水土流失特点, 我省采取坡面治理与沟道治理相结合, 工程措施、植物措施和蓄水保土耕作措施相配套, 在梁峁坡地种牧草、防护林, 山腰缓坡修梯田, 山脚村湾建果园, 荒坡沟沿营造水保林, 沟底修建淤地坝、谷坊, 建立“以小流域为单元, 以道路为骨架, 以梯田为主体, 造林种草、淤地坝、谷坊、涝池相配套”的综合防治体系, 不仅使水土流失得到有效治理, 而且改善了群众生产生活条件, 为调整农业产业结构, 发展农业特色产业提供了基础。

我省按照水土保持重点建设项目的总体要求, 把水土保持重点治理工程与农业结构调整、特色产业发展、新农村建设相结合, 强化项目管理, 创新建管机制, 研县岷郡山流域经济林示范点等一批各具特点和优势的综合治理示范工程。

此外, 积极推进生态清洁型小流域示范工程究制定了干部包抓实施方案, 建立了干部分类包抓制度, 抽调领导干部和技术力量深入项目区督促指导, 加快了工程建设进度, 保证了工程质量;围绕加强农业基础设施建设, 改善农业生产条件和生态环境, 提高农业综合生产能力, 促进农业增产、农民增收和农村经济发展的目标, 按照区位优势, 尊重群众意愿, 科学规划措施布局。

2013年, 在全省范围内选择了治理基础好、群众积极性高、特色产业有优势的小流域, 重点投入, 整合项目, 完善小流域综合防治体系, 打造了泾川县吴家沟和庄浪县文湾沟流域综合治理精品示范点、镇远县吕家河流域造林精品示范点、西和建设, 探索生态恢复、生产发展、生活富裕的可持续发展路子, 在降雨量相对充沛, 气候温暖湿润的长江流域选择了康县、徽县、成县和两当四县开展生态清洁型小流域示范工程建设, 各县结合小流域现状, 积极开展生态修复、生态治理和生态保护等水土保持生态文明体系建设。

截至2013年底, 全省已完成小流域综合治理1564条, 累计治理水土流失面积7.36万平方公里。涌现出了定西花岔、天水甘泉沟等许多小流域治理典型。通过小流域综合治理, 促进了定西洋芋、陇南花椒核桃、天水苹果、甘南畜牧养殖等农业特色产业的发展, 为群众增收致富创造了条件。

以水保项目为牵引 争当绿色生态“排头兵”

自我省提出建设国家级生态安全屏障以来, 水保部门积极相应, 积极参与到国家生态建设保护与补偿试验区建设, 及早统筹谋划水土保持项目布局, 力争当绿色“排头兵”。

根据建设国家生态建设保护与补偿试验区总体方案和全省生态主体功能区划, 结合已划定的水土流失重点预防保护区和重点治理区, 我省在国家限制开发的甘南黄河重要水源补给生态功能区、祁连山冰川与水源涵养生态功能区、长江上游“两江一水”流域水土保持与生物多样性生态功能区、陇东黄土高原丘陵沟壑水土保持生态功能区、石羊河下游生态保护治理区, 开展区域水土保持典型小流域治理模式调研, 提出了预防保护和综合治理项目建议。

在项目布局中, 我省坚持把水土保持工程建设与生态主体功能区相结合, 以陇东黄土高原丘陵沟壑水土保持生态功能区和长江上游“两江一水”流域水土保持与生物多样性生态功能区为重点, 统筹谋划重点支流和片区水土保持综合治理工程。在坡耕地面积大、水土流失严重的陇东黄土高原丘陵沟壑水土保持生态功能区, 突出以梯田工程建设为主的水土保持项目。

以监督监测为抓手 牢把水土流失责任关

预防监督是水土保持工作的重要组成部分, 是《水土保持法》赋予水行政主管部门依法防治水土流失的重要工作职责。

自1991年《水土保持法》颁布实施以来, 全省已基本建立了水土保持监督管理体系、水土保持配套法规体系和水土保持技术服务体系, 狠抓了生产建设项目水土保持方案编报、审批、检查、验收、查处等监督管理工作, 有力推动了生产建设项目“三同时”制度的落实, 有效防止了因生产建设造成的人为水土流失, 生产建设项目方案编报率、审批率和设施验收率明显提高。2011年3月1日, 新修订的《中华人民共和国水土保持法》颁布实施, 根据新的水土保持法, 我省制定了《甘肃省水土保持条例》, 于2012年10月1日颁布实施。新修订的水土保持法律法规, 强化了各级政府防治水土流失的主体责任, 突出了水土保持预防保护, 加大了违法行为的法律责任, 为水土保持管理部门依法查处违法违规行为, 规范生产建设活动提供了更加有力的法律武器。同时, 我省严格实施水土保持行政许可, 使全省生产建设单位水土保持方案审批率达到100%;切实加强生产建设项目水土保持监督管理, 督促生产建设项目履行水土保持义务;不断完善水土保持监督管理制度体系, 先行修订《甘肃省水土保持补偿费征收使用和管理办法》, 研究制定了《甘肃省水土保持行政处罚自由裁量权参照执行标准》, 为规范和行使水土保持行政处罚自由裁量权, 维护相对人的合法权益提供法律依据。

据统计, 截至2013年底, 全省累计审批各类生产建设项目水土保持方案9183个, 涉及水土流失防治责任范围18.64万公顷, 水土保持方案总投资102亿元, 设计拦挡弃渣2.2万立方米, 验收水土保持设施1603个, 征收水土流失补偿费2.5亿元。

为进一步加强水土保持监测工作, 发挥水土保持监测工作在政府决策、经济社会发展和社会公众服务中的作用, 我省水保部门鼓励和要求从事监测工作的人员积极参加上岗培训和专业知识学习, 严格落实水土保持监测制度, 对省内各级监测机构实行动态管理, 有效促进了水土保持监测工作规范化和制度化。

浅析防火墙技术 篇5

关键词：防火墙,防火墙技术原理,网络安全

1 引言

互联网络技术的发展和使用的迅速普及给我们的工作、学习和生活带来了巨大的改变,特别是我们获得外部信息,共享资源不再受到时间和空间的约束。但随着网络技术的发展,因特网的资源共享与开放模式,使得网络安全问题日益突出。因而,网络的安全成为人们最为关注的问题。在各种网络安全工具中,最成熟、最早产品化的网络安全机制就是防火墙技术。

2 防火墙概述

2.1 什么是防火墙技术

防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义。防火墙的英文名为“Fire Wall”,它是目前一种最重要的网络防护设备。从专业角度讲,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。(一般防火墙示意图如图1所示)

2.2 防火墙技术原理

防火墙实质上是一种隔离控制技术,其核心思想是在安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软、硬件兼而有之。

2.2.1 包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。(包过滤防火墙工作原理图如图2所示)

2.2.2 应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(应用网关防火墙工作原理图如图3所示)

2.2.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(状态检测防火墙工作原理图如图4所示)

2.2.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

2.3 防火墙功能

2.3.1 防火墙可以作为网络安全策略的焦点

把防火墙作为网络通信的阻塞点,所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。

2.3.2 防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。

2.3.3 防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

2.4 防火墙技术的发展

传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着网络安全的发展,防火墙技术也得到了发展,综观防火墙产品近年内的发展,可将其分为四个阶段。

第一代防火墙:基于路由器的防火墙。由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第二代防火墙:用户化的防火墙。这一阶段的防火墙技术主要特征是:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可自己动手构造防火墙。与第一代防火墙相比,安全性提高而价格降低了。

第三代防火墙:建立在通用操作系统上的防火墙。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。它以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。

第四代防火墙:具有安全操作系统的防火墙。这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。

3 防火墙在网络安全中的应用

随着计算机网络在我国的迅速发展,特别是与国际计算机网络互连之后,网络系统的安全问题越来越受到重视。防火墙是为保护计算机系统安全运行而常常采用的一种技术措施,在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。主要目的是保护一个网络不受来自另一个网络的攻击。通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。

对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的放行,不符合的拒之门外。防火墙是用来实现网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。

4 结束语

网络安全技术是一个十分复杂的系统工程。随着Internet的迅猛发展和网络攻击手段的不断变化,防火墙技术值得研究的课题仍很多,如防火墙怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好地防护网络的安全。

参考文献

[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安教育学院学报,2006,19[2].

[2]梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1990,[6].

[3]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[4]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,40[9]:147-149.

[5]魏洪波,王海燕.基于Internet的防火墙原理及设计[J].中国数据通信,2002,[8]:8-11.

防火墙技术综述 篇6

在全球信息技术高度发达的今天，随着互联网的日益普及，网络对我们来说已经成为工作和生活中必不可少的一部分。但网络在带给人们极大便利的同时，也带来了一个棘手的问题，就是网络安全问题。

为实现网络安全，防范网络攻击，最常用的对策就是构建防火墙。防火墙是指在内部网和互联网之间或者其他外部网之间插入一个中介系统，阻断来自外部通过网络对内部网的威胁和入侵。虽然防火墙是保护网络免遭黑客袭击的有效手段，但是防火墙也有一些缺陷和不足，如防火墙不能防备新的网络安全问题，它也无法防护内部网络用户的攻击等等，所以仅仅使用防火墙技术来保障网络安全是远远不够的，必须寻找新的解决方法来弥补防火墙的不足，本文提出将入侵检测技术与防火墙技术相结合提供一个更加安全的解决方案。

2 现有入侵检测系统与防火墙的不足

入侵检测系统(Intrusion Delection System)简称IDS可以定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理系统。它通过对计算机系统进行监视，提供实时的人侵检测并采取相应的防护手段。人侵检测系统的目的在于检测可能存在的攻击行为。它不仅能检测来自外部的入侵行为，还可以检测内部用户的未授权行为。是一种积极主动的安全防卸技术。目前就检测的数据来源IDS可分为基于主机的IDS(Host-Based IDS)和基于网络的IDS(Network-Based IDS)基于主机IDS主要根据系统的审计记录，用户的位置和命令，CPU和I/O及内存的使用情况文件系统的变化因素等来进行检测;基于网络的IDS系统通过获取网络上传送的IP包来进行安全检测分析，对IP包的获取一般采用被动的基于包侦听的方式，如采用Sniffer或Tcpdump等工具来实现。入侵检测系统的主要不足如下：

1)采用侦听方式的网络IDS只能实现被动的侦听即使检测到攻击，也很难实施有效的阻止或有效控制。

2)易受拒绝服务攻击(Denial Of Server简称DOS)，NIDS为了不漏掉攻击，需要近可能对每一个包进行检测，而不相防火墙在处理不过来的时候可以丢掉包而不威胁系统安全。这样当攻击者向内部网发送大量的NIDS需要处理时，便造成NIDS拒绝服务。

3)没有控制外部网对内部网访问的能力。

防火墙是一种用来加强网络之间访问控制的特出网络互联设备它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是不是被允许，从而达到保护内部网络的信息不被外部网络的非法用户访问，防火墙系统本质上是一种访问控制系统，它存在以下不足：

1)防火墙规则的制定，更多的是一种粗粒度的检查，对一些协议细节无法做到完全的解释。

2)防火墙提供的是静态防卸，它的规则都是事先设置的，需要人工来维护对于实施的攻击或异常的行为不能做出实时反应，不能主动跟踪入侵者。

3)防火墙无法自动调整策略来阻断正在进行的攻击。

4)防火墙具有防外不防内的局限性，对于内部用户的非法行为或已经渗透的攻击无法检查和响应。

通过以上分析我们集两种技术之所长提出了一种将网络入侵检测技术与放火墙技术相接合的体系结构。防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分，二者各有所长，行成互补，但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起，共同提供一个安全防御系统。

3 结合方法

防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分，二者各有所长，形成互补，但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起，共同提供一个安全防御系统。

在国外，软件形式的产品已经开始成为低端网络安全市场中非常重要的一部分。针对个人来讲，无论防火墙还是入侵检测都可以采用公开源代码的软件。选择公开源代码软件的原因是：公开源软件不仅是免费的，而且随着不断的发展，正变得高效和稳定。如防火墙可以选用Ipfilter，入侵检测系统可以选用Snort，并将Snort嵌入在Ipfilter中，让其运行Openbsd上。本文以防火墙选用Ipfilter，入侵检测系统选用Snort，将二者进行联动研究：Snort是一种基于误用检测模型的网络入侵检测系统，对每一种入侵行为，提炼出其特征值，按照Snort的规范写成检测规范，形成一个规则数据库。检查时，Snort收到的数据包在规则库中逐一匹配，如果匹配成功，则认为发生入侵。

Netfilter/Iptables是Linux内核(2.4.x)集成的IP信息包过滤系统，由两个组件Netfilter和Iptables组成。Netfilter组件称为内核空间，提供了一个对IP包进行操作的框架Iptables组件称为用户空间，它是用户插入，删除和修改保存在Netfilter组件中的包过滤规则的工具。

网络环境：图1是Netfilter/Iptables和Snort联动应用的网络环境。内部网络一以太网，取C类地址192.168.*.*通过防火墙以IP伪装方式访问Internet。防火墙硬件是一台安装有eth1和eth2两快网卡的主机，eth1连接外部网络，eth2连接内部网络;软件采用Netfilter/Iptables，提供网络地址转换，在内部网络的每个子网中，有一台运行的Snort主机。

安全联动设计：为了克服防火墙和入侵检测系统各自的缺点采用NetfilterIptables和Snort联动的安全方式，联动具有以下两种功能：

1)Snort检测自身的丢包率并与用户在规则中指定的丢包率做比较，如果大于用户的设定值，设置远程NetfilterIptables规则，减少流入Snort所在子网的流量，以避免对Snort的拒绝服务攻击。

2)Snort检测到攻击后，设置远程Netfilter/Iptables的规则，抵御来自外部网络的攻击。对于内部网络的攻击，可以在规则选项中指定关键字Flexresp来抵御这类攻击。

通过以上分析我们可以看出NetfilterIptables和Snort联动应用大大提高了网络的安全性。

4 结束语

安全是相对的，不安全才是绝对的。防火墙和IDS技术，只是网络安全环节中一个防御步骤。在网络内进行防火墙与IDS的设置，并不能保证网络绝对安全了，但是设置得当的防火墙及入侵检测技术，至少能使网络相对安全一些，并且能提供更多的攻击信息来进行分析。

目前国际上围绕信息的获取、使用和控制的竞争愈演愈烈，网络信息安全在维护国家安全、保持社会稳定、保障经济发展、保护个人隐私方面起的作用日益突显，网络信息安全保障能力已经成为21世纪综合国力、经济竞争实力和生存与发展能力的重要标志，同时，网络信息安全技术也已成为新世纪世界各国争相攀登的制高点。我们必须为此付出努力。

参考文献

[1]宋劲松.Snort2.0入侵检测[M].北京:国防工业出版社,2004.

[2]曹汉平.linux防火墙技术研究[J].武汉理工大学学报(交通科学与工程版),2002,26(1):120-12.

[3]朱建刚,刘乃崎.入侵检测系统:分析方法的设计[J].福建电脑,2004(4):10-12.

防火墙技术发展研究 篇7

关键词：包过滤,代理服务,状态检测防火墙,分布式防火墙,嵌入式防火墙

1 引言

由于计算机网络具有开放性、联结形式多样性、共享性等特征,因此,安全问题是网络诞生之日起就面临的一个挑战。防火墙作为目前最成熟、最早产品化的网络安全机制,在保护计算机网络安全中起着至关重要的作用。

防火墙是指设置在可信任网络和不可信任网络之间的一道执行访问控制策略的安全防御系统,它通过监测和控制跨越防火墙的数据来实现对可信任网络的安全保护,简单的概括就是,对网络进行访问控制。

2 防火墙的传统技术

防火墙有包过滤路由器(Packet Filtering Rout)、应用层网关(Application Gateway)两类基本模型,它们涉及的关键技术主要是包过滤[1](Packet Filtering)、代理服务(Proxy Service)[2]。

2.1 包过滤

包过滤是防火墙的初级产品,是一种完全基于网络层的安全技术。工作原理是用户在网络中传输的信息被分割成具有一定大小和长度的“数据包”,每一个数据包的包头中都会包含该数据包的源IP地址、目标IP地址、传输协议、TCP/UDP协议的源端口号、目的端口号、ICMP消息类型等信息,这些包采用存储转发技术逐一发送到目标主机,包过滤防火墙根据定义好的过滤规则检查每个通过它的数据包,以确定其是否与过滤规则相匹配,从而决定是否允许该数据包通过。过滤规则是一个在系统内部设置的访问控制表(Access Control Table),它是根据数据包的包头信息来制定的。

包过滤具有简单实用、实现成本低、运行速快、应用透明而且具有较强的通用性等优点。同时,包过滤技术也存在明显的不足。

1)智能性不强,实时性的有用服务也有可能被拒绝。

2)由于访问控制表中的过滤规则数目不可能无限增加,各种安全要求不可能充分满足,而且随着过滤规则数目的增加,设备及网络性能均会受到很大地影响,从而产生流量瓶颈等问题。

3)是一种基于网络层的安全技术,无法实现用户认证,对基于应用层的威胁无防范能力,如恶意的Java小程序以及电子邮件中附带的病毒等。

4)不能跟踪记录,无法从日志中查找攻击信息。

2.2 代理服务

代理服务是针对数据包过滤的缺点而引入的防火墙技术,它实质上是设置在Internet防火墙网关上有特殊功能的应用层代码,能够对数据流进行监控、过滤、日志(keg)和审计(audit)等,而且能隐藏内部IP地址,能够实现较严格的安全策略,大大提高了网络的安全性。

代理服务器位于客户机与服务器之间,是一个“中继站”,客户机与服务器的通信,通过代理服务器来实现。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器获取取数据,然后再由代理服务器将数据传输给客户机。每个代理只对已经确定的应用协议提供服务,并且可以采取一些安全策略。这样一来就避免了客户机与服务器的直接连接,使得攻击者更加难以发现网络的真实端口。一般情况下几个代理服务相互无关,即使某个代理服务工作发生问题,只需将它卸载即可,不会影响其它的代理服务模块。

代理防火墙的优点是安全性较高,通过对应用层进行监控,对付基于应用层的侵入和病毒十分有效。其缺点是对网络层的保护较弱,对用户不透明,对系统的性能有较大的影响,而且代理服务器对所有应用实时进行设置,增加了系统管理的复杂度。一旦防火墙发生了问题,被保护的网络与外部网络就无法连接。

3 新一代防火墙

当前网络安全的三大问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制,这三大安全问题覆盖了网络安全方面的绝大部分问题。传统防火墙基于物理上的拓扑结构,已不能满足网络的发展需要,于是随后出现了以状态检测防火墙(Stateful Inspection Firewall)、分布式防火墙(Distributed Firewall,DFW)、嵌入式防火墙(Embedded Firewall,EFW)为代表的新一代防火墙技术。

3.1 状态检测防火墙

状态检测防火墙采用的是一种基于连接的技术,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,来决定数据流的通过还是拒绝。

当数据包到达防火墙时,状态检测引擎会检测到这是一个发起连接的初始数据包(由SYN标志),防火墙先将这个数据包和规则表里的规则依次进行比较,如果匹配,那么就意味着通过了这个数据连接请求,那么本次会话被记录到状态监测表里。这时需要设置一个时间溢出值,一般将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包,当接收到此数据包的时候,防火墙将连接的时间溢出值设定为3600秒。如果在检查了所有的规则后,拒绝此次连接,那么该包被丢弃。状态监测表随后检测被放行的数据包,如果匹配,该数据包被放行,反之则被丢弃。其工作流程如图1所示。

当状态监测模块监测到一个FIN(连接终止)或一个RST(连接复位)包的时候,则时间溢出值从3600秒减至50秒。在这个周期内如果没有数据包交换,这个状态检测表项将会被删除,连接被关闭;如果有数据包交换,这个周期会被重新设置到50秒。如果继续通讯,这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击,例如,一些人有意地发送一些FIN或RST包来试图阻断这些连接。

状态检测防火墙与传统防火墙相比的优点。

1)安全性高。状态检测防火墙在数据链路层和网络层之间截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样确保了防火墙能够截取和检查所有通过网络的原始数据包。

2)效率高。通过防火墙的所有数据包都在协议栈的低层处理,这样减少了高层协议头的开销;另外一旦某个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。

3)应用广泛。不仅支持基于TCP的应用,而且支持的基于无连接协议的应用(如RPC)和基于的UDP的应用(如WAIS和Archie)等。

3.2 分布式防火墙

Steven M.Bellovin[3]首次提出了分布式防火墙的概念“DFW是这样的一个方案:策略集中订制,在各台主机上执行”。分布式防火墙是一个系统,基本构件如下。

1)网络防火墙(Network Firewall)

网络防火墙只处理与整个内部网络相关的安全问题,规则较少,因而可以高效运行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它增加了对内部子网之间的安全进行防护的功能,这样整个网络的安全防护体系就更加可靠和全面。

2)主机防火墙(Host Firewall)

主机防火墙主要包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。它主要是驻留在终端主机中,在应用层对网络中的服务器和用户PC机进行防护,负责策略的实施。它保证网络内部的安全访问,克服了传统防火墙的在此方面的不足。

3)中心管理(Central Managerment)

中心管理是分布式防火墙系统的核心和重要特征之一,负责总体安全策略的策划、管理、分发及日志的汇总。主机防火墙可以根据安全性的不同要求添加布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的。这样防火墙的管理就具有了灵活性。分布式防火墙构件的相互协调作用从根本上解决了传统防火墙的功能单一、不可靠、性能差等的缺点,并能够根据网络需要对整个防火墙进行最佳配置,使得整个网络的运行更加安全,更加有效。

但目前,分布式防火墙还存在着不能对用户完全透明和即插即用等技术瓶颈[4]。

3.3 嵌入式防火墙

由于操作系统自身不完善等原因,目前许多基于软件实现的“防火墙”都是不安全的,存在着被攻击者绕过的可能性。为此,Charles和Tom[5]提出了嵌入式分布式防火墙的方案,简称嵌入式防火墙。嵌入式防火墙网络拓扑结构见图2。

嵌入式防火墙是将防火墙固化在网卡上,所有进出网卡的数据包都受到防火墙安全策略的控制,安全策略的制定和分发是由策略服务器完成。这种基于硬件来实现的防火墙具有不依赖主机操作系统、不能被绕过和管理灵活的特点,是一种更加完善的安全架构,能够有效检测以SYN Flooding为代表的DDOS攻击[6]。

每一个EFW就是一块带有防火墙功能的网络连接卡(Network Interface Card,NIC),NIC在硬件一级实现对网络包的实时过滤,网卡上有自己的处理器和存储区,独立于主机操作系统工作。所有的EFW NIC构成分布式防火墙系统的策略执行组件,策略服务器负责管理这些EFW NIC。内部网络上的每一台PC、工作站或是服务器,包括策略服务器自身,均受到分布式防火墙的保护。然而,使用分布式防火墙并不意味着完全放弃传统边界防护墙。边界防火墙可以作为内部网络对外的第一道屏障,可以有效地将大量的外部攻击抵御于内部网络之外,可以减少内部网络的数据流量和EFW NIC的工作,因此在实际应用中,采用两者结合的方法,可以获得更高的安全性能。

4 结束语

新一代网络技术不断涌现,如IPv6网络、P2P应用、3G网络等等,给防火墙带来新的挑战。而目前的防火墙技术在性能上还存在着诸多问题,未来防火墙必然朝着智能化、多功能化、高速更安全的方向发展。

参考文献

[1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie.防火墙技术大全[M].李昂,译.北京:机械工业出版社,2003.

[2]郝文江.基于防火墙技术的网络安全防护[J].通信技术,2007,40(7):24-26.

[3]Steven M.Bellovin.Distributed Firewalls[OL].http://www.cs.columbia.edu/~smb/papers/distfw.html,1999.

[4]史力力,薛质,王轶骏.分布式防火墙与入侵检测联合系统的设计[J].信息安全与通信保密,2008,2:65-67.

[5]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C].New Orleans,Louisiana:17th Annual Com-puter Security Applications Conf,2001.

防火墙技术的探讨 篇8

1.1 防火墙的定义

防火墙的本义原是指古代人们之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流，且本身具有较强的抗攻击能力。

1.2 防火墙的工作原理

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址和目标地址作出放行/丢弃决定。例如：两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。防火墙的目的和功能通常应用防火墙的目的有一下几个方面：限制他人进入内部网络;过滤掉不安全的服务和非法;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全特工方便。

一般来说，防火墙具有以下几种功能：1)可以很方便地监视网络的安全性，并报警;2)允许网络管理员定义一个中心点来防止非法用户进入内部网络;3)利用NAT技术，可以作为部署NAT的地点，将有限的IP地址动态或静态地与内部IP地址对应起来，用来缓解空间短缺的问题。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式地宫部门级的计算。

2 防火墙技术

防火墙的安全技术包括过滤技术、代理技术、网络地址转换—NAT技术、分布式防火墙技术等。

2.1 包过滤防火墙数据

包过滤防火墙(Proxy)技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制和操作。包过滤操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。数据包过滤是一个网络安全保护机制，它通过控制存在与某一网段的网络流量类型来控制流出和流入网络的数据，包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。

包过滤的缺点：1)一些应用协议不要合适于数据包过滤;2)不能彻底防止地址欺骗;3)数据包工具存在很多局限性包过滤防火墙技术有一定的优点，但包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解决方案，而是把它与其他防火墙技术揉合在一起使用。

2.2 代理防火墙

代理防火墙是一种针对特定的用户层协议，它工作于应用层。代理防火墙能在用户层和应用协议层提供访问控制，是通过编程来弄清用户应用层的流量。代理服务器作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户(proxy client)负责代理内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

代理技术的缺点：1)代理对用户不透明;2)代理服务通常要求对客户、过程之一或两者进行限制;3)对于每项服务代理可能要求不同的服务器;4)代理速度较路由器慢。

2.3 分布式防火墙

分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以"分布式防火墙"是一个完整的系统，而不是单一的产品。

分布式防火墙的组成部分根据其所需完成的功能，新的防火墙体系结构包含如下部分：1)中心管理(Central Management)：这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总;2)主机防火墙(Host Firewall)：它是用于内部网与外部网之间，以及内部网各子网之间的防护;3)网络防火墙(Network Firewall)：它是用于内部网与外部网之间，以及内部网各子网之间的防护。后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。

4 结束语

未来防火墙技术会全面考虑操作系统的安全、网络安全、数据的安全、应用程序的安全、用户的安全，五者综合应用。与此同时，网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等其自身结合起来。

摘要：众所周知, 防火墙 (Firewall) 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它实际上是一种隔离技术。它能限制被保护的网络与Internet网络之间, 或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域的信息流。防护墙是实现网络和信息安全的基础设施, 它提供信息安全服务, 防火墙能有效的监控了内部网和Internet之间的任何活动, 保证网络内部的安全, 它是一个分离器, 一个限制器, 也是一个分析器。

关键词：防火墙,包过滤代理,自适应代理,分布式防火墙

参考文献

[1]董立军, 李立明, 李峰.计算机网络安全技术[M].北京:中国水利水电出版社, 2006.

[2]楚狂.网络安全与防火墙技术[M].北京:人民政电出版社, 2008.

[3]宣力, 罗忠海, 罗忠雁.计算机安全用户指南[M].成都:电子科技大学出版社, 2009.