1,防火墙的定义和作用
1,防火墙的定义和作用
在建筑防火设计中,主要考虑的是建筑物的主动、被动防火能力和人员安全疏散措施。在主动防火措施中,防火分区是一项主要内容。而防火墙是针对建筑物内外的不同部位和火势蔓延途径,在平面上设置的划分防火区段的建筑结构,是水平防火分区的主要防火分隔物。其主要作用是防止火势和烟气从建筑物外部向内部或由内部向外部或内部之间蔓延,在满足使用需要的同时,把建筑物的内部或外部空间合理地分隔策划能够若干防火区域,有效地减少人员伤亡和火灾损失。它是一种具有较高耐火极限的重要防火分隔物,是阻止火势蔓延的有力设施。
我国建筑设计防火规范中尚无对防火墙作过定义。因此,有必要对其进行定义。
从国外的标准看,防火墙的定义围绕其作用和应具有的性能来定义。如《澳大利亚建筑规范》中定义:防火墙是将楼层或建筑物分隔开,阻止火势和烟气蔓延,并具有规范规定的耐火极限(该规范将建筑物分别按功能分为10类,不同类建筑物中防火墙的耐火极限分别为1.5h,2h,3h,4h)的墙体。美国《标准建筑规范》(SBC)中定义:防火墙是从基础一直砌筑到屋顶或穿过屋顶,具有4h耐火极限,能限制火势蔓延,且在火灾条件下具有足够的结构稳定性,使得其两侧的建筑倒塌时不影响该墙的稳定的墙体(其中的开口采取防护措施)。美国《标准防火规范》(SFC)定义:防火墙是具有保护的开口,能限制火势蔓延,且从基础一直砌筑到屋顶的墙体。美国消防协会(NFPA)《防火手册》中定义:防火墙是具有足够的耐火极限、稳定性和耐久性,能抵御可使该墙两侧建筑结构倒塌的火灾的影响(如在墙上开口,必须采取防护措施)的墙体。美国消防协会标准(NFPA 221)《防火墙和防火隔墙标准》中定义:防火墙是设置在建筑物之间或在建筑物内部用以防火分隔以阻止火势蔓延,并具有一定耐火极限和结构稳定性的墙体。
因此,本人认为对防火墙可从其作用和性能进行定义,即防火墙是具有一定耐火极限、稳定性、耐久性、隔热性和抗变形能力,用于隔断火灾和烟气及其辐射热,能防止火势和烟气向其他防火区域蔓延的墙体。
2.防火墙的构造要求
防火墙从其走向可分为纵向防火墙与横向防火墙;从设置位置可分为内墙防火墙、外墙防火墙和室外独立防火墙;从其结构性能可分为:防火墙和防火隔墙。在规范中涉及较多的通常是防火墙和防火隔墙。
防火隔墙有:独立式防火隔墙、悬臂防火隔墙、承重墙、双防火隔墙、束缚式防火隔墙、单防火隔墙、翼墙等。这些墙体具有4 h的耐火极限时可作为防火
墙。防火隔墙具有较低的耐火极限,且不需象防火墙一样从基础开始一直砌筑到屋顶。一般是从建筑物内的地板面到上一层顶板底。
防火墙所起作用大小主要取决于防火墙的强度、耐久性和隔绝性。防火墙上不应有任何开口孔洞。
防火隔墙上可开设采用自动关闭的防火门窗保护的孔洞。
2.1 防火墙应具备的条件和构造:
2.1.1 必须采用砖石或钢筋混凝土建造,具有不低于4h的耐火极限;
2.1.2 在火灾条件下,防火墙两侧的屋顶和其他内部结构倒塌都不会影响该墙的整体性和稳定性:
2.1.3 能吸收因热膨胀、建筑物内部结构倒塌和地震产生的应力:
2.1.4 应建造在基础上,连续穿过各楼层,并高出屋顶90cm;当建筑物和屋顶是耐火结构时,防火墙可以紧贴在混凝土屋顶下,而不高出屋顶;
2.1.5 应伸出用可燃材料建造的外墙外。在防火墙支撑结构构件处,必须设计成两边的任何构件的破坏对防火墙的水平方向的影响都不超过设计范围;
2.1.6 防火墙应具有一定的厚度。该取决于建造防火墙的建筑材料、墙体高度及其内外部构筑方式。根据美国近百年的经验,一般采用实心砖建造时,10.7m高的防火墙应具备30.5cm的厚度;超过10.7m时,其超出部分每0.3m加厚10cm。用砖石扶壁加固的砖墙,30.5cm的厚度可建造21.4m高的防火墙。用空心砖建造时,10.7m高的防火墙应具备40.6cm的厚度:超过10.7m时,其超出部分每0.3m加厚10cm。对于钢筋混凝土墙,厚度是自由墙体高度或宽度的4%,且不小于22.9cm,超过10.7m时,其超出部分每0.3m加厚5cm。
2.1.7 墙上不应有任何孔洞、门、传送带开口,管道、电缆、电线槽开口,风管开口。
上图(1)、(2)、(3)、(4)为几种防火墙的示意图。
2.2 防火隔墙的构造
独立式防火隔墙用砖石建造,完全与两边的建筑物框架分离,一般都不接触。其屋顶结构都是由独立的钢框架和支柱支撑。该种防火墙可以承受雨棚和屋
盖倒塌时自由下落或任何一侧墙倒塌时对防火墙的影响,能够抵御较低强度爆炸产生的压力冲击,以及储存物品、支架或附近分隔物倒塌时作用于防火墙上的压力。
防火隔墙一般缺乏足够的厚度和较好的稳定性,也不需建造高出屋顶的女儿墙或穿过外墙的防护墙。
因此,防火墙是独立建造的,但独立建造的防火隔墙不一定是防火墙。
悬臂防火隔墙一般由砖石或钢筋混凝土建造,在火灾条件下,必须依靠其自身强度来保持稳定,不与邻近的建筑构造相连接。其稳定性主要由在建造时放入墙体内的竖向钢筋或辅助扶壁支持,高—厚比一般比独立式防火隔墙大,稳定性差。通常因与火接触的一面受热产生的变形或因一侧建筑物倒塌带拉屋顶雨棚会对该墙产生水平作用力而破坏。
承重墙是一种独立式防火隔墙,上面支撑了其他建筑构件,如屋顶系统等。
双防火隔墙是两座背靠背的防火隔墙,一般在建筑物扩建时增建。现有的防火隔墙是否与建筑物的框架相连接,随必需的耐火极限而定。这种做法可以使一座建筑物因一边有不能控制的火势而倒塌,拉倒这——边的墙时不致影响另一边的建筑物。
束缚防火隔墙一般与建筑物的框架相固定或相嵌。着火边结构倒塌的拉力必将由另一边未受热的结构承受。如果另一边的结构没有足够的强度,就有可能倒塌,因而必须加固较弱一边的框架。
单边防火隔墙与两边的建筑物结构相连。这种墙适于分隔相邻两座建筑高度不同的建筑物。
翼墙是在需要穿透外墙的防火墙上增加的防火隔墙。一般在防火墙的两端需要阻止火势蔓延时,增加翼墙,常用于工业建筑及库房的防火分隔中。它是突出外墙的T形墙体(每边一般至少突出0.9m)。
3.国内《高层民用建筑设计防火规范》和《建筑设计防火规范》对防火墙构造的要求
高层民用建筑设计防火规范》规定:“防火墙不宜设在U、L形等高层建筑的内转角处。当设在转角附近时,内转角两侧墙上的门、窗、洞口之间最近边缘的水平距离不应小于4m;当相邻一侧装有固定乙级防火窗时,距离可不限。紧靠防火墙两侧的门、窗、洞口之间最近边缘的水平距离不应小于2m;当水平距
离小于2m时,应设固定乙级防火门、窗。防火墙上不应开设门、窗、洞口,当必须开设时,应设置能自行关闭的甲级防火门、窗。输送可燃气体和甲、乙、丙类液体的管道,严禁穿过防火墙。其它管道不宜穿过防火墙,当必须穿过时,应用不燃烧材料将其周围的空隙填塞密实。穿过防火墙处的管道保温材料,应用不燃烧材料。防火墙的耐火极限为3h”
《建筑设计防火规范》规定:“防火墙应直接设置在基础上或钢筋混凝土的框架上,并应截断燃烧体或难燃烧体的屋顶结构,且高出不燃烧体屋面不小于0.4m,高出燃烧体或难燃烧体屋面不小于0.5m。当建筑物的屋盖为耐火极限不低于0.50h的不燃烧体时,高层工业建筑屋盖为耐火极限不低于1.00h的不燃烧体时,防火墙(包括纵向防火墙及防火隔墙)可砌至屋面基层的底部,不高出屋面。防火墙中心距天窗端面的水平距离小于4.0m,且天窗端面为燃烧体时,应采取防止火势蔓延的没施。建筑物的外墙如为难燃烧体时,防火墙应突出难燃烧体墙的外表面0.4m;防火带的宽度,从防火墙中心线起每侧不应小于2.0m。
防火墙内不应设置排气道,民用建筑如必须设置时,其两侧的墙身截面厚度均不应小于12cm。防火墙上不应开门窗洞口,如必须开设时,应采用甲级防火门窗,并应能自行关闭。可燃气体和甲、乙、丙类液体管道不应穿过防火墙。其他管道如必须穿过时,应用不燃烧材料将缝隙紧密填塞。
建筑物内的防火墙不应设在转角处。如设在转角附近,内转角两侧墙上的门窗洞口之间最近边缘的水平距离不应小于4.0m。紧靠防火墙两侧的门窗洞口之间最近边缘的水平距离不应小于2.0m,如装有耐火极限不低于0.9h的不燃烧体固定窗扇的采光窗(包括转角墙上的窗洞),可不受距离的限制。
设计防火墙时,应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不致使防火墙倒塌,其耐火极限为4h”
4.国外规范中对防火墙的有关规定
前苏联防火标准规定:防火墙应建在基础或基础的梁上,并沿整个楼房建筑到顶且与所有的楼层和结构相交。允许将防火墙直接设在由不燃烧材料建成的建筑物的框架结构上,且连结处的填充材料和紧固部件的耐火极限不得低于相应类型防火墙的耐火极限。对于用易燃材料建造的屋顶(屋顶面除外),防火墙应高出屋顶面不小于0.6m。对于用难燃材料建造的屋顶(屋顶面除外),则应高出不小于0.3m。如果屋顶的全部组件或无顶楼的屋顶都是用不燃材料制造的(屋顶面除外),则防火墙可不高出屋顶面。在外部墙是采用易燃材料或难燃材料制造的楼房中,防火墙应与这些墙相交,而且进入墙的外表面深度不小于0.3m。在装设由带连续玻璃窗的不燃材料或难燃材料制造的外部墙时,防火墙应把玻璃窗分隔开,这时允许防火墙不进入墙的外表面。在有悬吊顶棚的房间中的防火墙应将
其上的空间分隔开。在理楼房的一部分与另一幢楼房以某一角度而邻接的地方需要布置防火墙或防火隔墙时,必须使两楼房外墙中设有门窗孔之间的水平距离不小于4m,而以某一角度与防火墙或防火隔墙相邻接的墙段、屋檐段和屋顶檐口段,其邻接长度不小于4m时,均应用不燃材料制造。当上述门窗口之间的距离小于4m时,则应被装设第2类型的防火门窗。
防火墙的耐火极限为2.5h
在法国防火规范中规定了耐火墙、防火墙和断火墙三种。其中耐火墙自身可以燃烧;防火墙能阻止火焰和烟气的穿透,但不能防止热量的穿透:断火墙则既能阻止火焰和烟气的穿透,又能使背火面的平均温升不超过140oC,单点温升不超过180oC,耐火极限有2h和3h之分。其构造依据不同类别的建筑物有不同的要求,大致与《高层民用建筑设计防火规范》的要求相近。
美国NFPA 220将建筑物根据其墙、梁、柱、楼板和吊顶的耐火极限分为5级。在NFPA 251中规定对承重墙及防火墙的耐火极限试验为满足下述条件:在荷载作用下受火,相应分级耐火极限时间内不会发生穿火或将背火面的棉絮点燃;在荷载作用下受火,用65mm的水带和29咄的喷嘴水枪将0.31MPa的水压的水冲击墙体,试验过程中墙体不会发生穿火或将背火面的棉絮点燃,背火面没有水流流出;在相应分级耐火极限时间内,背火面的温升不超过121℃。在美国的一些建筑、防火标准,如《统一建筑规范》、《标准建筑规范》、《生命安全规范》(NFPA101)等中都针对不同类型的建筑物,将防火墙与一般的防火隔墙在设置位置、建造材料和相应的耐火极限方面的要求明确区分:在NFPA 221《防火墙和防火隔墙标准》中对防火墙和防火隔墙的构造及墙上开口的防火隔绝、管道穿越此类墙体时的防护措施都有具体规定。
5.对在建筑设计规范中确定防火墙的构造和耐火极限要求的几点建议
我国有关建筑设计防火规范在国内已施行多年,且标准体系、采用机制等也不尽一致,在我国的规范中很难也无此必要采用国外的模式进行规定。但作为防火墙和防火隔墙来说,其性能、构造及所起作用应基本一样的,因而对《建规》和《高规》中有关防火分隔物的要求提出如下建议:
5.1 《建规》涉及到低层、高层工业厂房和库房,多层民用建筑,大空间单层公共建筑及可燃、易燃物质储存构筑物。不同建筑的火灾特点和扑救、疏散措施有较大差异,区分防火墙与防火隔墙的要求和概念尤为重要,特别是对于生产厂房和库房。目前在规定中将防火墙与防火隔墙混在一起。因此,建议根据其适用范围的特点,保留原防火墙的耐火极限和构造要求,并增加防火墙的定义和防火隔墙的耐火极限要求。防火隔墙的耐火极限可与承重墙和单元住宅分户墙的相同。在“建筑构造”章节中将防火墙与防火隔墙的构造要求明确区分开来。
此外,可燃气体和甲、乙、丙类液体管道严禁穿过防火墙,不应穿过防火隔墙。通风和排烟管道不应穿过防火墙或防火隔墙,穿过时,应在防火墙两侧设置防火阀,可在防火隔墙的一侧设置防火阀。防火阀与墙体之间的管道应采用不燃材料。
5.2 对于高层民用建筑,从规范规定和实际建筑的防火设计来看,进行防火分区时设置的墙体或建筑物之间的外墙均属防火隔墙的范畴。因此,建议在《高规》中,将防火墙改为防火隔墙,其耐火极限和构造要求可与《建规》统一。在高层民用建筑与其他建筑之间应设置防火墙时,其要求可根据《建规》规定执行,不必再做规定。此外,建筑中封闭或防烟楼梯间与其他部位的隔墙,应按防火隔墙进行规定。
5.3 在现行建筑设计防火规范中,只有对相邻建筑物相对面存在防火墙时减小防火间距的要求。这是不完整的。建议在规范中对于那些设置防火间距有困难的情况,补充其中设置防火墙时防火间距可减小的要求。这样既可充分发挥防火墙的作用,又可解决设计困难、节约用地。鉴于目前尚无充足的实验数据,本人认为,可以借鉴国外的一些先进标准的规定,适当进行规定。
5.4 在现行规范中,对于设置防火墙分隔防火分区有困难时,规定可用防火水幕或防火卷帘加水幕分隔:或者采用耐火极限大于3h的防火卷帘进行分隔,采用防火卷帘代替防火墙时,其耐火极限应符合防火墙耐火极限的判定条件或在其两侧设闭式喷水灭火系统。本人认为这些规定存在以下两方面问题:
A 用防火分隔水幕或防火卷帘加水幕分隔,可以起到一定的防止火势蔓延的作用,特别适于墙上的开口防护,但对于空间较大或跨度较长时,十分不经济。同时,对于防火卷帘加水幕分隔,对于中庭等的实际分隔作用与效果,至今尚无充分的依据。此外,采取这种防火分隔方式的建筑物,还应规定其上部结构,如梁板或屋架、屋顶都应具有足够的耐火极限(一般不应小于一级耐火等级建筑物楼板的耐火极限)以支持喷水系统的管道或(和)卷帘的负荷。否则,一旦跨下来,将失去分隔作用。
B 采用耐火极限大于3h的防火卷帘进行分隔,则易产生误导。根据目前所了解的情况看,在国外相关资料或标准中还没有采用此种方式进行防火分隔的。在国内的防火卷帘产品中,现在也没有能够符合防火墙耐火极限的判定条件且耐火极限不小于3h的产品。国家标准14102《钢质防火卷帘通用技术条件》中规定:耐火极限为“按GB7633《门和卷帘的耐火性能试验方法》的规定对钢质防火卷帘进行耐火性能试验,从受火作用起到背火面隔热辐射强度超过临界热辐射强度规定时止。或发生帘板面窜火时止”的这段时间。显然,对防火卷帘耐火极限的判定条件与建筑构件的要求完全不同。此外,在防火卷帘两侧设闭式喷水灭火系统的效果,也缺乏充足的依据。
因此,建议在建筑设计防火规范中,对于建筑物内部采用防火隔墙进行防火分隔有困难时,可采用防火水幕或防火卷帘加水幕分隔,但应明确限定其使用场所或位置。
在《高层民用建筑设计防火规范》(以下简称“高规”)中,涉及选用防火卷帘的条款有以下几条:
1.“高规”第4.2.4条:“相邻的两座高层建筑,当相邻较高一面外墙耐火极限不低于2小时,墙上开口部位设有甲级防火门、窗或防火卷帘时,其防火间距可适当减小,但不宜小于4米。”
2.“高规”第5.1.4条:“高层建筑内设有上下层相连通的走廊、敞开楼梯、自动扶梯、传送带等开口部位时,应按上下连通层作为一个防火分区,其允许最大建筑面积之和不应超过本规范第5.1.1条的规定。当上下开口部位设有耐火极限大于3小时的防火卷帘或水幕等分隔设施时,其面积可不叠加计算。”
3.“高规”第5.1.5.2条:“与中庭相通的过厅、通道等,应设乙级防火门或耐火极限大于3小时的防火卷帘分隔。”
4.“高规”第6.3.3.4条:“消防电梯前室的门,应采用乙级防火门,或具有停滞功能的防火卷帘。”
另外,还应增加有关相应部位建筑构造上的要求。在有关规范中取消“采用耐火极限大于3h的防火卷帘进行分隔”的规定。对于中庭的防火分隔和在防火卷帘两侧设闭式喷水灭火系统的效果,建议进一步开展研究。
下一代防火墙-概念-本质
下一代防火墙:从概念回归本质 与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里? AD:2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼(Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP 电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。 恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。 应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是,机构对下一代防火墙所做出的定义是其最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,它们更像一个大而全的
防火墙的主要类型
防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表(又叫规则表),规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。 例如:“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,有效地提高了计算机的抗攻击能力。 2、应用代理防火墙
应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用;缺点是执行速度慢,操作系统容易遭到攻击。 代理服务在实际应用中比较普遍,如学校校园网的代理服务器一端接入Internet,另一端介入内部网,在代理服务器上安装一个实现代理服务的软件,如WinGate Pro、Microsoft Proxy Server等,就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性,能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。 在实际使用中,一般综合采用以上几种技术,使防火墙产品能够满足对安全性、高效性、
防火墙基础知识
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
解读防火墙
解读防火墙一.防火墙的概念近年来,随着普通计算机用户群的日益增长,防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种防火墙"软件了。但是,并不是所有用户都对防火墙”有所了解的,一部分用户甚至认为,防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙” (FireWall )。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之
间直接通信的技术,并沿用了古代类似这个功能的名字一一’防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 二.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程
序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在RingO级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设 备之间的通道是直接的,网络接口设备通过网络 驱动程序接口( Network Driver In terface Specificati on , NDIS )把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不
防火墙的概念和类型
1、什么是防火墙?防火墙有哪些类型? 防火墙的概念 防火墙(firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙由软件和硬件设备组合而成,它可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,计算机流入流出的所有网络通信和数据包均要经过防火墙。防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流,同时对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且还能禁止特定端口的流出通信,封锁特洛伊木马,也可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙的类型 从防火墙的软、硬件形式划分,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 (1)软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如Sygate Fireware、天网防火墙等。 (2) 硬件防火墙 硬件防火墙基于硬件平台的网络防预系统,与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙,他们基于PC架构。 (3) 芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),防火墙本身的漏洞比较少,不过价格相对比较高昂。 从防火墙的技术来分的话,防火墙可以分为包过滤型、应用代理型 (1) 包过滤(Packet filtering)型
GSM网络的网元结构及功能
GSM网络的网元结构及功能 2.1 GSM移动通信系统的组成 GSM移动通信系统主要是由交换子系统(NSS)、无线基站子系统(BSS)和移动台(MS)三大部分组成,如图1所示。其中NSS与BSS之间的接口为“A”接口,BSS与MS之间的接口为“Um”接口。 图1 蜂窝移动通信系统的组成 由于GSM规范是由北欧一些运营商和设备商推出的规范,运营商当然更希望最少的投资,用最好的设备来建最优良的通信网,因此GSM规范对系统的各个接口都有明确的规定。也就是说,各接口都是开放式接口。 GSM系统框图如图2,A接口往右是NSS系统,它包括有移动业务交换中心(MSC)、拜访位置寄存器(VLR)、归属位置寄存器(HLR)、鉴权中心(AUC)和移动设备识别寄存器(EIR),A接口往左Um接口是BSS系统,它包括有基站控制器(BSC)和基站收发信台(BTS)。Um接口往左是移动台部分(MS),其中包括移动终端(MS)和客户识别卡(SIM)。
图2 GSM系统框图在GSM网上还配有短信息业务中心,即可开放点对点的短信息业务,类似数字寻呼业务,实现全国联网,又可开放广播式公共信息业务。另外配有语音信箱,可开放语音留言业务,当移动被叫客户暂不能接通时,可接到语音信箱留言,提高网络接通率,给运营部门增加收入。 (1):交换子系统 交换子系统(NSS)主要完成交换功能和客户数据与移动性管理、安全性管理所需的数据库功能。NSS 由一系列功能实体所构成,各功能实体介绍如下:MSC:是GSM系统的核心,是对位于它所覆盖区域中的移动台进行控制和完成话路交换的功能实体,也是移动通信系统与其它公用通信网之间的接口。它可完成网络接口、公共信道信令系统和计费等功能,还可完成BSS、MSC之间的切换和辅助性的无线资源管理、移动性管理等。另外,为了建立至移动台的呼叫路由,还应能完成入口MSC(GMSC)的功能,即查询位置信息的功能。
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212 姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下:1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务
2.掌握HP7000路由器的配置、调试方法 3.掌握访问控制列表ACL,网络地址转换NAT和端口映射等技术 4.建立一个基于HP7000路由器的模拟园区网络出口 5.设计实施与测试方案 问题4:生成树协议的研究与实现 建立基于STP协议的局域网,对STP协议的工作原理进行研究,设计内容如下:1.掌握生成树协议的工作原理 2.掌握HP5308三层交换机和HP2626交换机的配置、调试方法 3.掌握STP/RSTP/MSTP协议的的工作过程 4.建立基于STP协议的模拟园区网络 5.设计实施与测试方案 问题5:无线WLAN的设计与实现 建立一个小型的无线局域网,设计内容如下: 1.掌握与无线网络有关的IEEE802规范与标准 2.掌握无线通信采用的WEP和WPA加密算法 3.掌握HP420无线AP的配置方法 4.建立基于Windows server和XP的无线局域网络 5.设计测试与维护方案 二.设计要求: 1.在规定时间内完成以上设计内容。 2.画出拓扑图和工作原理图(用计算机绘图) 3.编写设计说明书 4. 见附带说明。
通信资源定义
通信资源定义 1空间公共资源 为了管理通信网内的各种点状元素而划分的空间关系,是与其它专业的网络资源可以共同使用的公共部分。具体内容如下: 区域:为了通信网的管理界限清晰而划分的地理空间,区域按照管理归属,又由多个子区域组成。 站点:在通信网络中表现为一个网络节点,在地理空间上表现为包含一个或多个通信机房的建筑物或建筑群。 机房:指包含在站点内的用于安装通信设备及其他辅助设施或者线缆成端的建筑实体内房间。 机架位置:机房中用来放置机架的空间,在机房平面中,通常对机架位置实行整体的规划管理,机架位置通常在走线架或走线槽的阴影上,一个机架位置能安放一个或多个机架。 网络节点:包含两层含义:一是点设施的集合,可以作为一些连接(如光缆)的起始和终止节点;二是多个网元汇聚形成的聚集节点,多个网元可以作为一个节点来对待。 2线路走廊资源 承载光缆、电缆的管道、管槽或杆路的线状空间资源,和包括形成这些线路路由的人井、接续井、电杆、铁塔等点状资源。具体内容如下: 管道:是通信线路在地面下的主要载体,用于敷设通信线路及线路附属设施。管道可以理解为整个管道网,由所有的管道段组成,不用作为资源对象单独管理。
人井:是管道段或槽道段的终端建筑。便于工程维护人员进行安装维护管道、子管、光缆、电缆的有一定空间的地下设施。人井包括接续人井、接续手井、汇集井。汇集井包含两个以上的方向,可以作为管/槽段的起点或终点,接续井只有两个方向,存在于某个管/槽段当中,接续井可能变为汇集井。在线路拓扑图中,每一个人井都按一定的顺序(递增或递减)进行排列,人井与人井之间通过管道段或槽道段进行联接。 管道段:由若干管群集合组成的,承载和穿放光缆或电缆的地下建筑设施。任意相邻两人井之间作为一段管道段。 槽道:槽道是一种特殊的管道,在电力系统中主要是指电缆沟;电缆沟作为敷设电力电缆的沟道,开挖于地面,有覆盖物覆盖,是电力系统特有的一种资源,在其槽壁上敷设子管或钢管,作为光缆的承载通道。槽道可以理解为整个槽道网,由所有的槽道段组成,不用作为资源对象单独管理。 槽道段:在槽道中,任意相邻两接续井之间算为一段槽道段。槽道段没有管群,有管孔和子管。 管群:管群是一组管孔的汇集。 管孔:可穿放若干条光缆、电缆或子管的管道段截面的空心部分。一个管道段可以有多个管孔,每个管孔又包含多个子管。管孔可能从属于某一管群,也可能作为单独存在。 子管:子孔从属于管孔,放置在管孔内的管,如PVC管,用于将大的管孔分割为更小的空间。 管道闸:管道闸属于站点,在站点的地下进线室中,是出局的管道在地下进线室中的管道截面,它与出局管道的第一个人井构成了出局管道段。 管道闸位:管道闸位从属于某一管道闸,由某个方向管群组汇集而成的一个截面。 引上管:连接管道段和杆路的设施,此外,从机房到铁塔/门架/地槽一段
防火墙工作原理和种类
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 一.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在
负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS 直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管 NDIS 接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的
网元的概念及其作用
1、网元的概念及其作用 ` GSM系统模型 1.1专业术语解释 GSM——GOBLE SYSTEM FOR MOBILE COMMUNICATION全球移动通信系统SS——SWITCHING SYSTEM交换系统 BSS——BASE STATION SYSTEM基站系统 BSC——BASE STATION CONTROLLER基站控制器OMC——OPERATION AND MAINTENANCE CENTER操作维护中心
OSS——OPERATION AND SUPPORT SYSTEM操作支持系统ISDN——INTEGRATED SERVICE DIGITAL NETWORK综合业务数字网PLMN——PUBLIC LAND MOBILE NETWORK共用陆地移动网 HPLMN——HOME PUBLIC LAND MOBILE NETWORK国内共用陆地移动网PSTN——PUBLIC SWITCH ING TELECOMMUNICATE NETWORK 共用电话交换网PSDN——PUBLIC SWITCHED DATA NETWORK共用数据交换网PSPDN——PACKET SWITCHING PUBLIC DATA NETWORK分组交换共用数据网PIN——PERSONAL IDENTITY NUMBER个人识别码 HLR——HOME LOCATION REGISTER 归属位置寄存器 VLR——VISITOR LOCATION REGISTER拜访位置寄存器 MSC——MOBILE SERVICES SWITCHING CENTER 移动交换中心AUC——AUTHENTICATION CENTER鉴权中心 EIR——EQUIPMENT IDENTITY REGISTER设备识别寄存器GMSC——GATEWAY MOBILE SERVICES SWITCHING CENTER网关MSC GIWU——GSM INTERWORKING UNIT GSM内部功能单元 SC——SERVICE CENTER服务中心 SMS-GMSC——SHORT MESSAGE SERVICE GATEWAY MSC短消息服务网关MSC SMS—IWMSC——SHORT MESSAGE SERVICE INTERWORKING MSC短消息互连MSC BGW——BILLING GATEWAY计费网关 BSC——BASE STATION CONTROLLER基站控制器 RBS——RADIO BASE STATION无线基站 BTS——BASE TRANSCEIVER STATION 基站收、发信机 MS——MOBILE STATION 移动台 LA——LOCATION AREA位置区 MIN——MOBILE INTELLIGENT NETWORK移动智能网 SSP——SERVICE SWITCHING POINT业务交换点 SCP——SERVICE CONTROL POINT业务控制点 SIM——SUBSCRIBER IDENTIFICATION MODULE 用户识别模块SSF——SERVICE SWITSHING FUNCTION业务交换功能
防火墙的概念及实现原理
防火墙的概念及实现原理 一. 防火墙的概念 近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 二. 防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。 硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,
防火墙工作原理和种类
一.防火墙的概念 近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 二.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,
防火墙工作原理和种类
防火墙工作原理和种类-标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一.防火墙的概念 近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 二.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
防火墙的工作原理
防火墙的工作原理 文章来源:天极 “黑客会打上我的主意吗?”这么想就对了,黑客就像钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢? 什么是防火墙? 防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。 所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。 当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。 现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。 还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个
第二章 SEMS网元管理系统的基本概念(unix)
第二章 SEMS网元管理系统的基本概念 2.1网元级网管: SEMS2.0是SDH网元管理系统2.0版的简写,从网管的角度来讲它属于是一个网元级网管系统。所谓网元级网管系统就是以DCC(数据通信通路)为物理层的ECC(嵌入控制通路)互连的若干NE(网元)组成的网络管理系统。它的主要作用就是对SDH传输网的性能、运行状况进行实时检测和控制。以便SDH传输网络的运营商掌握SDH设备的使用情况,当出现某些故障或性能劣化时能及时地进行维护。 2.2 EMU与BCT的关系 EMU和BCT是管理和代理的关系。EMU是管理者,BCT是代理者。 BCT嵌入在各个单盘上,主要完成以下功能: 实时收集所在电路盘规定的各种即时告警、即时性能、即时状态等信息。 计算前一个15分钟的历史告警历史性能,每15分钟滚动刷新。 上电时,向EMU申请配置,根据配置初始化设备,使设备开电后进入预定的工作状态。 设备运行中,随时接受EMU下发的各种控制命令,执行规定的操作。同时,接受EMU的各种查询。 2.3 网块和网元 网块是烽火通信在网元管理上创立的概念,由若干个相互连通的网元组成的网元组,一般情况下,网块的构成与传输系统的结构(如环或链)有一定的关系。由于网元管理盘的EMU管理能力的限制,每个网块的网元数一般不超过16个。 网元是逻辑上独立存在的、完成一定管理功能的最小单元,一般情况下,一个EMU管理的设备构成一个网元。 2.4 SEMS系统与网块、网元的关系 SEMS系统作为设备的管理者,可管理多个网块。为了减少DCC信道上的信息流,防EMU 过载,一般情况下,SEMS系统不与普通网元(A)通信。在一个网块中,必须并且只能设置某一个网元为MA,与工作站直接通信,MA既管理本网元的设备,又管理该网块的其它网元。一网块中可以设置一个MB(也可以不设Mb),作为MA的备份。在MA正常时,SEMS系统一般与MA通信,不会与MB通信;在MA失效的情况下,SEMS系统与MB直接通信,由MB担当管理者角色。一般地,SEMS系统管理的网块不超过32个,每一网块管理的网元不超过16个。 SEMS系统通过F接口与EMU盘连接,并可通过DCC信道与远端EMU通信; EMU通过内部总线和每个单盘上的控制单元BCT进行通信, BCT负责对单盘进行控制和管理,如图2.1所示。
防火墙概念与分类
防火墙概念与分类 1.防火墙简介 ?防火墙允许授权的数据通过,而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统,允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线,才能接触目标计算机。 ?在没有防火墙时,局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点上。 ?防火墙基本功能: 1. 作为一个中心“遏制点”,将内部网的安全管理集中起来,所有的通信都经过防火墙; 2. 只放行经过授权的网络流量,屏蔽非法请求,防止越权访问,并产生安全报警; 3. 能经受得起对其自身的攻击。 ?防火墙工作在OSI参考模型上: ?防火墙的发展史: 1. 第一代防火墙技术由附加在边界路由器上的访问控制表**ACL (Access Control Table)**构成,采用了包过滤技术。 2. 第二代代理防火墙即电路层网关和应用层网关。 3. 1994年,以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙 产品。 4. 1998年,美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应 代理技术。 ?防火墙的两大分类:包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以NAI公司的Gauntlet防火墙为代表。
?防火墙的组成:防火墙既可以是一台路由器、一台PC或者一台主机,也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界,本地网络通过输入点和输出点与其它网络相连,这些连接点都应该装有防火墙,然而在网络边界内部也应该部署防火墙,以便为特定主机提供额外的、特殊的保护。 ?防火墙的分类: 1. 根据采用的技术不同,可分为包过滤防火墙和代理服务防火墙; 2. 按照应用对象的不同,可分为企业级防火墙与个人防火墙; 3. 依据实现的方法不同,又可分为软件防火墙、硬件防火墙和专用防火墙。 ?软件防火墙:防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需要网络管理人员对所工作的操作系统平台比较熟悉。 ?硬件防火墙:由PC硬件、通用操作系统和防火墙软件组成。在定制的PC硬件上,采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、 Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度也慢。 ?专用防火墙:采用特别优化设计的硬件体系结构,使用专用的操作系统,此类防火墙在稳定性和传输性能方面有着得天独厚的优势,速度快,处理能力强,性能高;由于使用专用操作系统,容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可根据应用环境选择合适的产品。 2.包过滤防火墙 ?包过滤(Packet Filter)是所有防火墙中最核心的功能,进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比,它的优势是不占用网络带宽来传输信息。 ?包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。 ?如果没有一条规则能匹配,防火墙就会使用默认规则,一般情况下,默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。
防火墙的原理及应用
防火墙的原理及应用 防火墙的知识对于一些非专业的朋友来讲是一些很难懂,看起来很复杂的东西,但其实等你真正的去了解之后才发现这些其实别不是那么难,现在就由小编简单的为大家介绍一下防火墙的原理及应用。 防火墙的原理: 1、包过滤防火墙 包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的原地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息报,包中包括发送者的IP地址和接受者的IP地址。当这些包被送上互联网时,路由器会读取接受者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地
址而来的所有信息都被会防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国家用户去访问那些违反我国有关规定或者“有问题”的国外站点,包过滤路由器的最优优点就是他对于用户来说是透明的,也就是说不需要用户名和密码来登陆。这种防火墙速度快而且易于维护,通常作为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录,而攻击一个单纯的包过滤式的防火墙对于黑客来说是比较容易的,他们在这一方面已经积了大量的经验。“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的IP地址已经被替换掉了,取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编织的路由器攻击程序,这种程序使用路由器歇息来发送伪造的路由器信息,这样所有的都会被重新路由到一个入侵者所指定的特别抵制。对付这种路由器的另一种技术被称之为“同步淹没”,这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的“同步请求”信号报,当服务器相应了这种信号报后会等待请求发出者的回答,而攻击者不做任何的相应。如果服务器在45秒钟里没有收到反应信号的话就会取消掉这次的请求。但是当服务器在处理成千上万各虚假请求时,它便没有时间来处理正常的用户请求,处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的,通常它没有用户的使用记录,这